Zpedia 

/ Qu’est-ce que la cybersécurité dans le secteur de la santé ?

Qu’est-ce que la cybersécurité dans le secteur de la santé ?

La cybersécurité dans le secteur de la santé est essentielle pour protéger les données des établissements de santé, des patients et des appareils médicaux contre les cybermenaces telles que le phishing et les ransomwares. Ne pas atténuer ces menaces peut avoir un impact sur les résultats pour les patients, provoquer des violations de données et des violations de la loi HIPAA, et nuire à la confiance des patients.

Lire la brochure
Essayez la solution Zscaler Health Care dès maintenant
Protection contre les menaces en ligneProtection des données
  1. Pourquoi c’est important
  2. Principaux défis
  3. Principaux types de menaces
  4. Cas d’utilisation essentiels
  5. Bonnes pratiques
  6. Comment nous pouvons vous aider
  7. FAQ
  8. Autres thèmes similaires

En quoi la cybersécurité est importante dans le secteur de la santé

Le secteur de la santé a changé depuis le début de la décennie. Les services de télésanté, le personnel mobile, l’IA, l’adoption du cloud et l’IoT médical ont rendu les soins de qualité plus accessibles.

Ces nouvelles modalités de soins s’accompagnent toutefois d’une plus grande dépendance à l’égard d’Internet et des services fournis dans le cloud. Alors que les établissements de santé cherchent à intégrer cette nouvelle technologie à leur infrastructure existante, souvent vieille de plusieurs décennies, les réseaux traditionnels peinent à suivre. Tout ceci se traduit par une augmentation du risque de violation de données.

Les acteurs malveillants exploitent les vulnérabilités des services émergents et abusent des outils d’IA pour lancer des cyberattaques plus fréquentes et plus avancées. Ce faisant, ils menacent de saper la confiance des patients, d’exposer les prestataires à des sanctions et de perturber la prestation des services de santé.

Cela étant dit, les priorités des établissements de santé restent constantes : fournir des soins de qualité, améliorer les résultats pour les patients et protéger leurs données. À ces fins, la cybersécurité est devenue un impératif stratégique dans le secteur de la santé.

Avenir de la sécurité des données de santé

Pierre angulaire de la sécurité du secteur de la santé aux États-Unis, la loi HIPAA en matière de sécurité a connu relativement peu de changements depuis 2013. Cependant, les mises à jour prévues par le ministère américain de la Santé et des Services sociaux devraient mener à trois changements majeurs en 2024 :

  1. Nouvelles exigences de sécurité pour les entités couvertes qui participent à Medicare ou Medicaid
  2. Nouvelles normes de sécurité dans le cadre de la loi HIPAA pour mieux soutenir la responsabilité
  3. Plus grande capacité pour l’Office for Civil Rights (OCR) d’enquêter et de pénaliser la non-conformité à la loi HIPAA

Ces mises à jour sont essentielles pour protéger les données des patients dans un environnement numérique et de menaces en constante évolution. Face à la croissance de l’IoT, à l’adoption du cloud, aux menaces avancées telles que les ransomwares à double extorsion et à la complexité des réseaux traditionnels, une sécurité efficace est plus importante que jamais.

Principaux défis de la cybersécurité dans le secteur de la santé

Les équipes informatiques et de sécurité du secteur de la santé qui s’efforcent de combler les failles de sécurité mettent souvent en œuvre des solutions à objectif unique, créant au fil du temps un patchwork coûteux et fastidieux. Une sécurité cohérente et efficace est souvent difficile à réaliser dans le secteur des soins de santé pour les raisons suivantes :

  • Diversité des écosystèmes informatiques : maintenir une sécurité unifiée est un défi dans les environnements comportant un assortiment de dispositifs médicaux, de systèmes de santé et d’IoT, ces derniers étant souvent dépourvus de fonctions robustes de sécurité.
  • Systèmes traditionnels : les exigences élevées de disponibilité obligent une grande partie du secteur de la santé à s’appuyer sur des systèmes et des logiciels obsolètes, dépourvus de fonctionnalités de sécurité modernes. Beaucoup ont déjà atteint la fin de leur durée de vie.

Citation

Les appareils médicaux traditionnels […] ne bénéficient pas du support du fabricant pour les correctifs ou les mises à jour, ce qui les rend particulièrement vulnérables aux cyberattaques.
Alerte du FBI à l’attention du secteur
  • Contraintes budgétaires : avec des marges d’exploitation serrées, la budgétisation des outils et du personnel de sécurité modernes passe souvent au second plan pour assurer la continuité des soins.
  • Conseils réglementaires : les cadres tels que HIPAA n’offrent pas toujours les conseils les plus récentes ou les plus adaptables. Les cybermenaces évoluent beaucoup trop rapidement et les réglementations peuvent privilégier des contrôles ou des outils spécifiques sans tenir compte des menaces modernes.
  • Donner la priorité aux soins aux patients : fournir des soins de qualité aux patients est une priorité. Lorsque l’accessibilité et l’efficacité sont en concurrence avec la cybersécurité, la sécurité risque d’être reléguée au second plan.

Principaux types de cybermenaces qui pèsent sur le secteur de la santé

Étant donné qu’ils traitent une grande quantité de données privées, les établissements de santé et les partenaires de la chaîne d’approvisionnement sont les cibles privilégiées des cyberattaques. En abusant d’informations d’identification volées et de vulnérabilités non corrigées, les hackers accèdent à des informations privilégiées, les exfiltrent et en tirent profit.

Plus récemment, la pandémie de COVID-19, l’IA générative et les exploits VPN ont entraîné une explosion des attaques contre le secteur de la santé.

Phishing

Le phishing dans le secteur de la santé a augmenté de plus de 250 % en 2022, alors que les patients ont repris les traitements qu’ils avaient reportés durant la pandémie. Parallèlement, l’IA générative a facilité et accéléré le lancement des attaques.

Pour en savoir plus, consultez notre rapport 2023 sur le phishing.

Ransomware

Dans tous les secteurs, les attaques de ransomwares ont augmenté de plus de 37 % entre avril 2022 et avril 2023. Dans le secteur de la santé en particulier, les attaques de ransomwares ont considérablement augmenté, de 165,38 %.

Pour en savoir plus, consultez notre rapport 2023 sur les ransomwares.

Attaques chiffrées

Le secteur de la santé était la quatrième cible des attaques chiffrées dans le monde en 2023, avec 29 % d’attaques en plus par rapport à 2022.

Pour en savoir plus, consultez notre rapport 2023 sur les attaques chiffrées.

Exploits contre les appliances

En 2024, 56 % des entreprises ont subi au moins une attaque au cours des 12 mois précédents qui a exploité leurs VPN. Exposées sur Internet, les appliances traditionnelles font partie des principaux vecteurs d’attaque dans le secteur de la santé, avec de nombreuses nouvelles vulnérabilités découvertes chaque trimestre.

Pour en savoir plus, consultez notre rapport 2024 sur les risques liés aux VPN.

Nécessité d’une cybersécurité globale dans le secteur de la santé

Face aux menaces croissantes, les patients et les prestataires ont besoin de moyens pour accéder aux soins, les gérer et les contrôler en toute sécurité, où qu’ils se trouvent. Pour ce faire, la plupart des acteurs du secteur migrent vers le cloud. Cela met en évidence plusieurs considérations essentielles pour la sécurité et les opérations.

Gestion du cyber-risque

La télémédecine, le cloud et l’IoT ont ouvert de nouvelles voies pour un accès malveillant aux données et aux systèmes de santé, et les attaques contre le secteur de la santé explosent.

Les entreprises doivent :

  • Réduire leur surface d’attaque pour restreindre l’accès malveillant aux systèmes de santé. Cela commence par maintenir les utilisateurs et les appareils hors du réseau, en accordant uniquement aux utilisateurs autorisés un accès direct aux ressources sur la base du moindre privilège.
  • Masquer les appareils et applications exposés à Internet qui peuvent laisser la porte ouverte aux hackers

Coûts et risques liés à l’infrastructure et aux fusions et acquisitions

Le secteur continue à se regrouper par le biais de fusions et d’acquisitions, qui tendent à aggraver les complexités et les vulnérabilités informatiques. Une étude de l’Université de Dallas menée en 2023 a révélé que le risque de violation de données double dans les hôpitaux américains au cours de l’année précédant et suivant une fusion.

Les entreprises doivent :

  • Appliquer une politique unifiée dans tous les clouds et data centers
  • Connecter en toute sécurité les utilisateurs, les appareils et les applications lors de l’intégration des fusions et acquisitions
  • Éviter les problèmes de complexité, de compatibilité et de coût typiques des fusions et acquisitions

Sécuriser les nouveaux modèles de soins et l’IoT médical

Alors que les systèmes de santé facilitent l’accès aux soins, ils doivent également sécuriser l’accès aux données sensibles depuis pratiquement n’importe où, sur n’importe quel appareil. Des données largement distribuées et des milliers de terminaux de l’Internet des objets médicaux (IoMT) potentiellement vulnérables peuvent rendre cette tâche incroyablement difficile.

Les entreprises doivent :

  • Sécuriser et simplifier la connectivité IoMT afin de pouvoir adopter en toute sécurité de nouvelles applications et de nouveaux appareils

Optimiser le télétravail

Les répercussions de la récession financière, des pénuries de personnel et de l’épuisement professionnel continuent d’entraver la prestation de soins efficaces. Les nouveaux modèles de prestation et solutions cloud peuvent améliorer la satisfaction, la productivité et l’efficacité du personnel. Toutefois, ils atteignent les limites de l’infrastructure vieillissante du secteur.

Les entreprises doivent :

  • Abandonner les pare-feu traditionnels, les VPN et les infrastructures de réseau basées sur le périmètre
  • Adopter une architecture Zero Trust conçue pour offrir une connectivité évolutive et sécurisée aux cloud et aux effectifs hybrides

Bonnes pratiques de cybersécurité dans le secteur de la santé

Des pratiques robustes de sécurité sont essentielles pour protéger les données des patients, maintenir l’intégrité des services médicaux et préserver la confiance. Chaque entreprise doit :

  1. Chiffrer les données sensibles en mouvement et au repos pour empêcher tout accès non autorisé
  2. Déchiffrer le trafic entrant et sortant pour bloquer les menaces cachées et protéger les données sensibles
  3. Réduire sa surface d’attaque à l’aide d’une architecture de proxy inverse pour cacher les appareils et les applications sur l’Internet public
  4. Réaliser des évaluations des risques des systèmes informatiques, des réseaux et de l’IoMT pour détecter et résoudre les problèmes avant qu’ils n’entraînent des violations
  5. Appliquer l’accès sur la base du moindre privilège et l’authentification multifacteur (MFA) pour que seul le personnel autorisé accède aux informations sensibles
  6. Former le personnel aux politiques de sécurité et aux moyens de réduire les risques, notamment concernant le phishing, les ransomwares et le traitement des données
  7. Maintenir les systèmes à jour avec les derniers correctifs de sécurité
  8. Appliquer des procédures robustes de surveillance et de réponse aux incidents pour résoudre rapidement les incidents de sécurité, réduire leur impact et accélérer le rétablissement
  9. Adopter une architecture Zero Trust pour réduire les risques et les défis liés aux réseaux basés sur le périmètre, aux pare-feu et aux VPN, et garantir un accès aux données et aux applications basé sur l’identité

Comment Zscaler peut vous aider

Notre approche Zero Trust connecte en toute sécurité les utilisateurs et les appareils directement aux applications de vos systèmes de santé, et non à votre réseau, ce qui aide votre entreprise à :

  • Protéger les patients, les employés, les appareils et les données sensibles contre les cyberattaques
  • Préserver la confidentialité et l’intégrité des données des patients
  • Rester en conformité avec les réglementations du secteur telles que HIPAA et HITECH
  • Inspecter la totalité du trafic TLS/SSL pour limiter les menaces et les pertes de données

Découvrez comment Zscaler aide à sécuriser le secteur de la santé moderne et à garantir la conformité à la loi HIPAA.

Foire aux questions