Violations de données dans le secteur de la santé : des coûts réduits mais une menace persistantes

Le secteur de la santé reste une cible de choix pour les cybercriminels, malgré une évolution encourageante des coûts liés aux violations des données. Leur coût moyen est passé de 10,93 millions $ en 2023 à 9,77 millions $ en 2024{{Footnote.N76502}}.

Cependant, cette réduction ne doit pas entraîner un relâchement. Les soins de santé restent le secteur le plus ciblé par les cyberattaques, avec des conséquences potentiellement dévastatrices à la fois pour les patients et les prestataires.

Vulnérabilités des données dans le secteur de la santé

Les établissements de santé, qu’il s’agisse de cabinets médicaux, de cliniques, d’hôpitaux, de centres d’imagerie et de diagnostic ou de centres de recherche, sont confrontés à des défis hors du commun en matière de sécurité des données, et ce en raison de plusieurs facteurs :

• La complexité du flux de données médicales sensibles entre divers appareils et systèmes, tels que les tomodensitomètres, les échographes et les ordinateurs administratifs, crée de multiples points de vulnérabilité potentiels pouvant entraîner des pertes de données.
• De nombreuses organismes manquent de spécialistes en cybersécurité et de stratégies de sécurité cohérentes. Aussi, plutôt que de suivre un plan de sécurité complet, ils prennent souvent des décisions ponctuelles concernant l’achat des équipements et logiciels. Cette situation est particulièrement vraie pour les petits cabinets, mais elle est encore aggravée par la pénurie mondiale de professionnels de la cybersécurité.

Ces vulnérabilités, combinées à la nature critique des opérations de santé, font qu’il est essentiel pour les organisations d’aller au-delà de simples mesures de sécurité réactives, et de développer des stratégies de protection complètes et proactives. Si ces défis ne sont pas relevés, les conséquences peuvent être considérables et graves.

L’impact considérable des violations de données

Lorsque des organismes de soins de santé subissent des violations de données, les conséquences vont bien au-delà des pertes financières immédiates :

• En cas de compromission des dossiers médicaux, ce qui peut avoir de graves conséquences sur la santé si les informations relatives au traitement sont modifiées ou rendues inaccessibles, la confiance des patients s’érode rapidement.
• Les prestataires sont souvent confrontés à une atteinte importante à leur réputation, ce qui entraîne une diminution du nombre de patients et une instabilité financière.
• Les perturbations opérationnelles peuvent être importantes, nécessitant des ressources considérables pour restaurer les systèmes et les données, tout en gérant simultanément l’augmentation des coûts et la perte de revenus.

L’ampleur du problème est telle qu’une étude Sophos réalisée en 2024{{Footnote.N76503}} a révélé que 37 % des organismes de santé ont nécessité plus d’un mois pour se remettre des attaques par rançongiciel, la quasi-totalité des victimes ayant signalé des tentatives de compromission de leurs systèmes de sauvegarde.

Le défi majeur lié aux rançongiciels

Les rançongiciels (ou « ransomware ») restent l’une des menaces majeures pour les établissements de santé du monde entier. En 2023, ces attaques représentaient 54 % des incidents de cybersécurité dans l’Union européenne. Plus inquiétant encore, seuls 27 %{{Footnote.N76504}} des établissements médicaux interrogés ont mis en place des programmes spécifiques de protection contre les rançongiciels.

Les organismes de santé sont des cibles particulièrement attrayantes en raison de leur nature opérationnelle critique et de la sensibilité de leurs données. Lorsque les systèmes de soins aux patients sont compromis, les établissements médicaux sont soumis à une pression énorme pour rétablir rapidement les services, ce qui les rend souvent plus enclins à payer des rançons que les organisations des autres secteurs.

Les enjeux sont exceptionnellement élevés. Les retards dans le traitement ou l’accès aux dossiers médicaux peuvent avoir un impact direct sur la santé des patients.

Les attaques par rançongiciel modernes ont évolué au-delà du simple chiffrement des données. Aujourd’hui, elles impliquent le vol de données et des stratégies de double extorsion, où les attaquants menacent de publier des informations sensibles sur les patients à moins que des paiements supplémentaires ne soient effectués.

Les prestataires de soins de santé se trouvent donc dans une position délicate : ils doivent faire un choix entre la protection de la vie privée des patients et la continuité des services.

Malgré la gravité de ces menaces, l’ensemble du secteur n’a toujours pas mis en place de défenses spécifiques et adéquates contre les rançongiciels. De nombreux établissements ne disposent pas d’une segmentation adéquate du réseau, de protocoles de sauvegarde robustes ou de plans complets de réponse aux incidents adaptés à ce type d’attaques.

Comprendre les réglementations internationales et la conformité en matière de cybersécurité

Les gouvernements du monde entier ont reconnu la nécessité de renforcer la protection des données dans le secteur des soins de santé. En conséquence, ils ont accru les niveaux de réglementation afin de souligner la gravité des menaces qui pèsent sur le secteur.

Au niveau de base, l’Union européenne applique le Règlement général sur la protection des données (RGPD) pour la protection globale des données, tandis que la directive NIS2 traite de la sécurité des réseaux et de l’information dans des secteurs verticaux spécifiques, dont les soins de santé.

Aux États-Unis, la loi HIPAA (Health Insurance Portability and Accountability Act) continue d’évoluer, avec des mises à jour récentes qui renforcent les protections de la cybersécurité pour les informations électroniques de santé protégées (ePHI).

La Commission européenne a également proposé un plan d’action sur la cybersécurité dans le secteur des soins de santé afin d’améliorer sa résistance aux attaques, reconnaissant que les réglementations seules sont insuffisantes en l’absence d’une formation et d’un soutien appropriés.

Le respect de ces exigences réglementaires nécessite des solutions techniques robustes, le chiffrement jouant un rôle particulièrement important dans la protection des données sensibles. Cependant, toutes les solutions de chiffrement n’offrent pas les mêmes niveaux de sécurité et de conformité.

Importance du chiffrement matériel pour protéger les données de santé

Lorsqu’il s’agit de protéger les données de santé, toutes les solutions de chiffrement ne se valent pas. Le chiffrement matériel offre une protection supérieure à celle des solutions logicielles, en particulier contre les attaques sophistiquées et les tentatives d’altération. Cette protection est particulièrement importante lors du transfert de données sensibles sur des disques externes.

Les solutions de chiffrement matériel modernes, telles que la gamme de produits Kingston IronKey, offrent de solides fonctions de sécurité. La clé USB Kingston IronKey Vault Privacy 50, avec sa certification FIPS 197 (en cours), offre une protection contre le BadUSB grâce à un firmware signé numériquement, ainsi que contre les attaques par force brute.

Pour les besoins de stockage plus importants, le SSD externe Kingston IronKey Vault Privacy 80 offre un chiffrement XTS-AES 256 bits certifié FIPS 197 avec des capacités allant jusqu’à 7,68 To. Sa conception indépendante du système d’exploitation et son interface à écran tactile en font un outil idéal pour le stockage et le transfert sécurisés de données dans les établissements de santé. Il est particulièrement utile pour les établissements de petite et moyenne taille, car il peut servir de sauvegarde isolée à l’abri des rançongiciels et assurer une récupération plus rapide en cas d’interruption.

Mesures de protection des données des patients

Bien que la diminution du coût des violations de données dans le secteur de la santé puisse laisser penser que des progrès ont été réalisés, il convient de rester vigilant et mettre en place des mesures de cybersécurité complètes. La protection des informations sensibles des patients nécessite une approche à multiples facettes combinant les éléments suivants :

• Un chiffrement matériel robuste pour le stockage et le transfert des données
• Une formation régulière du personnel aux pratiques de sécurité et la mise en place d’une hygiène de cybersécurité
• Des stratégies de sécurité globales et planifiées plutôt que des solutions ponctuelles
• Se conformer rapidement à l’évolution des réglementations
• Investir dans une expertise spécialisée en cybersécurité pour combler le déficit de compétences dans le secteur

En prenant ces mesures, les organismes de soins de santé pourront mieux protéger les données de leurs patients et maintenir leur confiance, indispensable à l’efficacité des soins fournis. Protégez vos données de santé avec le bon chiffrement. Bénéficiez des conseils d’experts de l’équipe Demandez à un expert de Kingston.