Une attaque de ransomware force un fournisseur de soins de santé à déclarer faillite

Une attaque de ransomware force un fournisseur de soins de santé à déclarer faillite

Les dangers des attaques de ransomware ont été démontrés lorsque plus de 5 000 patients en Californie ont définitivement perdu leurs dossiers médicaux stockés dans un établissement de soins de santé à la suite d’une attaque de ransomware.

Wood Ranch Medical de Simi Valley, en Californie, a subi l’attaque le 10 août 2019. Des ransomwares ont été déployés et exécutés sur ses serveurs, contenant les dossiers médicaux de 5 835 patients. L’attaque a causé des dommages permanents aux systèmes informatiques, et comme les copies de sauvegarde des dossiers des patients étaient également chiffrées, ils ont été définitivement perdus. On ne connait pas le montant exigé par les pirates pour qu’ils fournissent les clés de déchiffrement au cas où la rançon aurait été payée.

Sans les dossiers des patients et à cause du fait que l’organisation devait reconstruire totalement sa pratique médicale à partir de zéro, la décision a été prise de fermer définitivement l’établissement. Les patients ont été forcés de trouver d’autres prestataires de soins de santé et n’ont plus accès à leur dossier médical.

Il s’agit du deuxième fournisseur de soins de santé aux États-Unis qui a été forcé de fermer ses portes en raison d’une attaque de ransomware. Le Brookside ENT and Hearing Center de Battle Creek, au Michigan, a également fermé son cabinet cette année à la suite d’une attaque similaire. Dans cette affaire, les propriétaires de l’établissement ont refusé de payer la rançon, et les dossiers des patients étaient restés chiffrés. Ils ont été conscients qu’il n’était pas possible de reconstruire le cabinet à partir de zéro et ont annoncé leur retraite anticipée.

On ne sait pas exactement comment le ransomware a été installé dans chacun de ces incidents. Il n’est donc pas possible de déterminer les mesures qui auraient dû être mises en œuvre et améliorées pour prévenir les attaques. Toutefois, dans les deux cas, la récupération des fichiers à partir des sauvegardes n’était pas possible.

Le but d’une sauvegarde est de s’assurer qu’en cas de problème, les données seront récupérables. La récupération des fichiers peut prendre beaucoup de temps et nécessiter des temps d’arrêt en raison de l’attaque qui risque d’être coûteuse, mais les données ne seront pas perdues définitivement.

Afin de s’assurer que la récupération des fichiers est possible, les sauvegardes doivent être testées. Les fichiers peuvent être corrompus pendant le processus de sauvegarde et la restauration des données peut ne pas être possible. Si les sauvegardes ne sont pas testées pour s’assurer que les fichiers peuvent être restaurés, il ne sera pas possible de garantir leur restauration en cas de sinistre.

Ces incidents mettent également en lumière une autre règle fondamentale de la sauvegarde. En fait, il ne faut jamais stocker une seule copie de sauvegarde sur un ordinateur en réseau ou connecté à Internet.

En cas d’attaque de ransomwares, il est fort probable que les copies de sauvegarde sur les périphériques en réseau seront chiffrées et le seul moyen de les récupérer est de payer la rançon.

Là encore, il n’est pas certain que le paiement d’une rançon offre une garantie que les données seront récupérées. Les fichiers peuvent être corrompus par le processus de chiffrement/déchiffrement et les attaquants peuvent décider de ne pas fournir tout simplement les clés pour déchiffrer les fichiers.

Une bonne alternative que vous pouvez adopter pour prévenir de telles catastrophes est d’adopter la règle de sauvegarde 3-2-1. Cela signifie que 3 sauvegardes doivent être créées et être stockées sur 2 supports différents, avec 1 copie gardée en toute sécurité hors site sur un appareil qui n’est pas en réseau ou connecté à Internet.

Ce que vous devez savoir sur les lois sur la conservation des données commerciales

Ce que vous devez savoir sur les lois sur la conservation des données commerciales

Beaucoup de gens croient que seules les entreprises réglementées doivent conserver les e-mails et d’autres fichiers numériques. C’est une idée fausse et dangereuse. Les lois sur la conservation des données touchent la plupart des entreprises, qu’elles soient réglementées ou non.

Les lois que vous devez respecter dépendent du pays dans lequel vous exercez vos activités. Aux États-Unis, la liste des réglementations est longue : SOX, HIPPA, Franks-Dobbs, Gramm Leach Bliley, et même le USA Patriot Act. En Europe, il existe des lois spécifiques pour les pays membres de l’UE, ainsi que pour l’Union européenne dans son ensemble.

Saviez-vous que vous pourriez commettre un crime si vous supprimez un e-mail ? Vous réutilisez des supports de sauvegarde qui peuvent aller à l’encontre de la loi ? Faites cela avec une intention malveillante et vous risquez de purger 20 ans de prison aux États-Unis. Le défaut de produire des e-mails pour les vérificateurs peut également amener la SEC (Security and Exchange Commission) à imposer une amende aux entreprises financières.

Voici un résumé de certains des règlements particuliers et voici comment ils ont vu le jour. En raison du grand nombre d’organismes de réglementation et de règles qui se chevauchent, certaines organisations décident de tout conserver, et pour toujours. La raison est que certaines règles stipulent que le document A doit être conservé pour la période B et le document C doit être conservé pour la période D.

Les règlements peuvent encore se compliquer, car les différentes périodes et règles de conservation s’appliquent à différents types de données. Il est plus simple de supposer que vous avez besoin d’une copie inviolable et hors site de toutes les communications commerciales, des dossiers de paie et de santé, et des transactions comptables, et ce, pour toujours.

SOX

Après le scandale Enron aux États-Unis, le Congrès a adopté la loi Sarbanes-Oxley de 2002 pour faire en sorte que les entreprises démontrent la véracité de leurs états financiers. L’objectif était d’étayer l’affirmation « Tout va bien ici. Les affaires vont bien » avec des faits réels pour protéger les investisseurs contre la fraude (dans le cas d’Enron).

À cette fin, tout type de données comptables doit être conservé pendant 7 ans. Étant donné que les e-mails peuvent contenir des informations concernant les audits de la société et l’examen des états financiers réalisés par le comptable, ils doivent alors être conservés pendant cette période.

Les mesures prises dans le cadre de l’exploitation de l’entreprise sont également liées aux résultats financiers, de sorte qu’elles doivent être conservées pendant sept ans. Bref, le mieux serait donc de conserver tous vos e-mails pendant au moins 7 ans.

HIPAA

L’HIPAA est la Loi sur la transférabilité et la responsabilité en matière d’assurance maladie. Il a été adopté sous le mandat du président Clinton pour permettre aux Américains de conserver leur assurance maladie lorsqu’ils perdent leurs emplois. Cette cruelle partie du capitalisme a été remplacée par la nouvelle loi sur la santé du président Obama, mais les exigences de l’HIPPA en matière de paperasserie demeurent.

On pourrait penser qu’une loi appelée « assurance maladie… » s’adresserait uniquement aux professionnels de la santé. Bien au contraire, la loi s’applique aux discussions sur la santé de toute personne, y compris votre personnel. Il peut s’agir d’un employé qui demande un congé médical pour consulter un médecin ou pour s’occuper d’un enfant malade ; ou bien d’un parent vieillissant. Du moment que la communication se fait par e-mail, l’HIPPA exige que vous conserviez le message pendant six ans.

Les règles au Royaume-Uni

Watson et Hall ont passé en revue les règles en matière de détention de documents au Royaume-Uni. Leur matrice regroupe les exigences de communication et de conservation par secteur : finance, gouvernement, communication et conformité interentreprises.

Selon Watson et Hall, les entreprises basées au Royaume-Uni sont tenues de conserver les dossiers fiscaux pendant trois ans ; les messages texte sur téléphone cellulaire pendant un an (ce serait difficile) ; et les e-mails pendant un an, à moins que vous soyez une entreprise financière, auquel cas l’exigence est de six ans.

Les fournisseurs d’accès internet (FAI) et les entreprises hébergeant des sites web sont tenus de conserver un registre de leur activité sur internet pendant 4 jours et des informations sur la connexion Internet pendant un an.

Lois allemandes sur la conservation des données

Iron Mountain, l’entreprise américaine d’archivage de documents et de données informatiques, a dressé une liste pour l’Allemagne. En effet, les entreprises allemandes et les entreprises opérant en Allemagne sont tenues de conserver les communications commerciales pendant 6 ans et les données salariales et comptables pendant 10 ans.

Archivage des e-mails avec ArcTitan Cloud

Les exigences eDiscovery stipulent que les e-mails doivent être conservés et consultables pendant 6 ans. Par conséquent, il est important d’utiliser un système d’archivage d’e-mails – comme ArcTitan – qui donne aux utilisateurs un accès en ligne à ce qui est archivé hors ligne et hors site.

Il existe une alternative consistant à suivre un processus fastidieux pour restaurer des fichiers de données d’e-mails à partir d’une sauvegarde afin de rechercher ce qui pourrait être demandé à votre entreprise. Cependant, il s’agit d’un processus lourd et sujet aux erreurs.

ArcTitan inclut un navigateur en langage naturel via lequel vous pouvez rechercher dans les archives de votre messagerie électronique tous les éléments liés, par exemple, à « Fusion avec Acme Company ». Cet outil permet à votre entreprise de rester en conformité avec les réglementations en vigueur et de se conformer facilement aux exigences eDiscovery.

Le RGPD s’applique-t-il aux sociétés américaines ?

Le RGPD s’applique-t-il aux sociétés américaines ?

Le Règlement Général sur la Protection des Données (RGPD) est une nouvelle loi sur la confidentialité et la sécurité des données en Europe. Elle entrera en vigueur l’année prochaine. Mais le RGPD s’applique-t-il aux entreprises américaines ?

Comme de nombreuses entreprises américaines l’ont récemment découvert, non seulement le RGPD s’applique aux entreprises américaines, mais si celles-ci font des affaires dans l’Union européenne (UE), cela pourrait leur coûter cher au cas où elles ne s’y conformeraient pas.

Toute organisation (ou personne) qui fait des affaires dans l’un des 28 États membres de l’UE (Allemagne, Autriche, Belgique, Bulgarie, Croatie, Chypre, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Pays-Bas, Pologne, République tchèque, Roumanie, Royaume-Uni, Slovaquie, Suède et République Tchèque) doit respecter cette règlementation, sous peine de sanctions sévères.

La pénalité pour non-conformité au RGPD pour les entreprises est de 20 000 000 euros (23 138 200 dollars) ou 4 % du chiffre d’affaires annuel global de l’entreprise pour l’exercice précédent (le plus élevé des deux montants étant retenu). S’il est avéré qu’une entreprise ne s’est pas conformée au RGPD, elle sera également soumise à des vérifications régulières et périodiques de la protection des données pour s’assurer que ses politiques et procédures sont mises à jour et que l’entreprise continue à se conformer au RGPD.

Alors, en quoi consiste cette réglementation et comment s’applique-t-elle pour les entreprises américaines ? Que doivent-elles faire pour s’y conformer ?

Comment le RGPD s’applique-t-il aux sociétés américaines ?

L’objectif principal du RGPD est de donner aux citoyens de l’UE un plus grand contrôle sur la manière avec laquelle leurs données personnelles sont collectées, protégées et utilisées. Si la législation s’applique aux entreprises de l’UE, elle s’applique également à toute entreprise qui choisit de faire des affaires dans le territoire européen. Cela inclut toute entreprise en ligne qui possède un site web accessible aux citoyens de l’UE, au cas où ce site collecterait des données sur les utilisateurs.

Comme la définition des renseignements personnels comprend les identificateurs en ligne comme les cookies, le RGPD a donc des répercussions sur un grand nombre d’entreprises américaines.

Ce texte s’applique à toutes les entreprises qui font des affaires avec des personnes basées dans les États membres de l’UE, à l’exception des forces de l’ordre, ou lorsque des données sont collectées pour des activités de sécurité nationale.

Pour continuer à exercer des activités commerciales dans l’UE, la plupart des entreprises devront mettre en œuvre des mesures supplémentaires de protection de la vie privée et adopter des stratégies de protection des données de bout en bout.

L’UE définit les données personnelles comme « toute information concernant une personne physique identifiée ou identifiable ». Celles-ci comprennent un large éventail d’informations allant des noms, adresses, numéros de téléphone et adresses électroniques aux informations bancaires ; aux détails de carte de crédit, aux photos, aux messages sur les sites de médias sociaux, aux informations médicales, voire aux adresses IP individuelles.

Même si des contrôles ont été mis en place pour assurer la sécurité des données, il peut s’avérer nécessaire de réviser les systèmes afin de s’assurer que des protections suffisantes sont en place. Les entreprises doivent savoir où les données sont stockées et les employés doivent être formés pour s’assurer qu’ils sont conscients de leurs responsabilités quant à l’utilisation de ces données.

Les organisations devront fournir aux clients ainsi qu’aux visiteurs de site Web des renseignements détaillés sur la façon de collecter et d’utiliser les données. Le consentement doit être obtenu de l’utilisateur (ou bien du parent ou du gardien d’un mineur) avant la collecte des données.

Les entreprises doivent avoir une raison légitime et légale et se limiter au minimum d’informations nécessaires lorsqu’elles recueillent les données. Celles-ci doivent également être effacées lorsque l’objectif a été atteint.

Si leurs activités principales sont la collecte, le stockage ou le traitement des données, les organisations doivent nommer un délégué à la protection des données qui connaît bien le RGPD et qui en surveillera la conformité. Cette personne doit également avoir une connaissance approfondie de l’infrastructure organisationnelle et technique de l’entreprise.

Par ailleurs, les organisations doivent mettre en œuvre des politiques, procédures et technologies appropriées pour garantir que les données des citoyens de l’UE puissent être effacées définitivement. Le droit à l’oubli (appelé « droit à l’effacement ») fait partie du droit à la liberté d’expression.

La législation que le RGPD a remplacée n’exigeait pas l’effacement des données que lorsqu’elles causaient des dommages importants. Toutefois, à partir de l’année prochaine, un citoyen de l’UE peut demander que toutes les données collectées à son sujet soient effacées définitivement si les informations ne sont plus nécessaires aux fins pour lesquelles elles ont été initialement collectées. Les données doivent également être effacées si le consentement concernant leur utilisation est retiré, ou encore si le traitement des données est considéré comme illicite et contreviennent au RGPD.

De nombreuses entreprises américaines ont déjà mis en place des technologies qui respecteront les exigences du RGPD, mais l’exigence relative au droit d’effacement pourrait poser problème.

Symantec a récemment mené une enquête qui a révélé que 9 entreprises sur 10 craignaient de ne pas être en mesure de se conformer à l’exigence du droit à effacement comme stipulé par le RGPD. Seulement 4 entreprises sur 10 disposent d’un système en place qui pourrait permettre de supprimer toutes les données collectées.

Conformité avec le RGPD aux États-Unis

Une récente enquête menée par PricewaterhouseCoopers auprès de grandes multinationales américaines a montré que des efforts sont déjà en cours pour assurer le respect de cette réglementation européenne. Plus de la moitié des entreprises interrogées ont déclaré que la protection des données est désormais leur principale priorité, et 92 % d’entre elles ont déclaré que le respect de cette obligation est une priorité absolue cette année.

Le coût de la conformité est toutefois considérable. 77 % des entreprises sondées ont indiqué qu’elles prévoyaient dépenser plus d’un million de dollars pour se conformer à cette réglementation. L’un de leurs principaux postes de dépenses étant l’amélioration de leurs mesures de sécurité de l’information.

De nombreuses entreprises commencent à se demander comment le RGPD pourrait s’appliquer aux entreprises américaines. Une étude menée par NTT Security a révélé que trois quarts des entreprises américaines ignorent cette règlementation, car elles ne croient pas être concernées. L’ignorance pourrait s’avérer toutefois très coûteuse et, de surcroît, le temps presse.

Le RGPD pourrait entraîner une augmentation des cyberattaques

Le RGPD pourrait entraîner une augmentation des cyberattaques

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur depuis un mois maintenant et de nombreuses entreprises s’efforcent de se conformer à cette nouvelle réglementation, même si elles disposent encore de cinq ans pour se préparer et s’y conformer.

Les nouveaux règlements législatifs entraînent toujours des coûts supplémentaires et beaucoup d’initiatives de gestion. Cependant, ils offrent également de nouvelles opportunités pour les professionnels avertis, les entrepreneurs et les pirates informatiques.

Au fur et à mesure que les gestionnaires de dossiers de Niveau C discutent de l’impact du RGPD sur leur organisation, tandis que d’autres personnes évaluent les moyens d’en tirer des avantages financiers.

Le Délégué à la Protection des Données (DPD)

Si vous allez sur Indeed.co.uk et cherchez « Data Protection Officer », vous trouverez plus de 3 000 offres d’emploi, rien qu’en Angleterre.

En effet, les offres d’emploi de DPD sur le site de recherche d’emploi Indeed ont augmenté de plus de 700 % au cours des 18 derniers mois. Si vous avez la base de connaissances requise et les compétences décrites pour ce poste, alors le moment est propice pour vous y lancer.

L’article 37 du RGPD exige que les entreprises qui collectent ou traitent les données des citoyens de l’UE disposent d’un DPD. Selon l’Association internationale des professionnels de la protection de la vie (IAPP), plus de 28 000 DPD seront nécessaires en Europe et aux États-Unis et jusqu’à 75 000 dans le monde. La demande est particulièrement forte dans certains secteurs comme le marketing numérique, la finance, les soins de santé et la vente au détail.

De grandes sociétés technologiques comme Microsoft, Twitter, Facebook et Airbnb recrutent des DPD. Selon ITJobsWatch, le salaire moyen des professionnels intervenant dans le domaine du RGPD, y compris les DPD, s’élève à 71 584 euros par an. Le poste de DPD bénéficie d’un salaire médian de 106 500$. Aux États-Unis, un DPD peut toucher des salaires allant jusqu’à 150 000$.

L’article 37 du RGPD précise les pouvoirs exacts qu’un Délégué à la Protection des Données à caractère personnel doit détenir. Parmi tant d’autres, le niveau d’expertise du DPD « doit être déterminé notamment en fonction des traitements de données effectués et de la protection requise pour les données à caractère personnel traitées par le responsable ou le sous-traitant ». Cet article donne également un aperçu de certaines des responsabilités du DPD, à savoir :

  • Sensibiliser le responsable du traitement ou le sous-traitant et ses employés aux obligations qui leur incombent en matière de respect des règles du RGPD
  • Former le personnel chargé du traitement des données à une bonne hygiène en matière de cybersécurité
  • Surveiller la conformité au RGPD
  • Effectuer des vérifications et régler les problèmes éventuels de façon proactive
  • Servir de point de contact entre l’organisation et l’autorité de contrôle du RGPD
  • Servir de point de contact pour les demandes de renseignements des personnes concernant leurs données à caractère personnel et la manière dont elles sont utilisées, les pratiques en matière de protection des données et leurs droits personnels.
  • Tenir des registres complets de toutes les activités de traitement de données.

Le RGPD, une opportunité de piratage et d’augmentation des cyberattaques

Il existe un autre aspect du RGPD qui préoccupe les gestionnaires de fichiers de niveau C. Il s’agit de l’imposition éventuelle d’amendes en raison du manque de diligence raisonnable de la part d’une entreprise en matière de prévention ou de réaction contre l’atteinte à la protection des données personnelles d’un tiers.

Dans le cadre du RGPD, les entreprises peuvent se voir infliger des amendes allant jusqu’à 20 millions d’euros ou jusqu’à 4% de leur chiffre d’affaires annuel global pour les infractions les plus graves, le montant le plus élevé étant retenu.

Un palier inférieur impose une amende de 2% pour les infractions moins graves. Cependant, le grand public estime que de telles amendes devraient être substantielles afin de motiver les entreprises à prendre au sérieux leurs obligations en matière de protection des données personnelles. Cependant, l’ampleur colossale de ces amendes constitue une opportunité pour la communauté des pirates informatiques.

Les entreprises seront encouragées à effectuer régulièrement des tests d’intrusion par des pirates expérimentés, ou pirates white hat, qui peuvent fournir des informations sur la manière dont une personne malveillante pourrait violer leur infrastructure de stockage de données. À l’autre bout du spectre, les pirates informatiques aux intentions malveillantes reconnaîtront l’opportunité de cibler les entreprises conformes au RGPD.

Les pirates pourraient attaquer les entreprises dans le but de confisquer des données et imposer à la direction des frais d’extorsion afin de dissimuler l’infraction plutôt que de se voir infliger des amendes punitives qui pourraient se chiffrer en dizaines de millions de dollars. Comme avec les ransomwares, les cybercriminels essayeront de trouver l’endroit idéal où les entreprises seraient les plus susceptibles de payer volontiers la rançon pour éviter les amendes.

Les amendes potentielles liées aux infractions dont nous avons été témoins ces dernières années concernaient Equifax et Yahoo. Nous avons également vu des entreprises comme Uber travailler en coopération avec des pirates informatiques pour dissimuler les failles et les faire disparaître.

Le piratage d’Uber est l’exemple parfait de la façon dont les pirates pourraient tirer profit du RGPD. Suite au vol de données de plus de 57 millions de clients, les pirates ont fait chanter Uber, lequel a choisi de payer 750 000£ pour garder l’infraction secrète. Au regard du RGPD, Uber aurait enfreint la réglementation.

Une grande partie de l’attention médiatique autour du RGPD s’est concentrée sur les amendes potentielles, à savoir de 2 jusqu’à 4% du chiffre d’affaires global, mais moins sur les exigences de déclaration strictes définies par l’Organisation internationale du commerce ou (OIC). Les pirates pourront profiter de cette opportunité potentielle pour réaliser des gains rapides et substantiels.

La sécurité multicouche est la réponse

Aucune entreprise ne peut protéger ses données contre toutes les attaques possibles et garantir la sécurité des données qu’elle héberge. Ce que vous pouvez faire, c’est faire preuve de diligence raisonnable pour mettre en œuvre un plan de sécurité à plusieurs niveaux — y compris la couche vitale de protection DNS — pour combattre les attaques probables.

Deux des outils les plus efficaces dans l’arsenal de sécurité d’une entreprise sont les solutions de filtrage du courrier électronique et du contenu web. L’email continue d’être la principale méthode utilisée par les pirates informatiques pour lancer leurs sinistres attaques contre l’entreprise ciblée.

Le web occupe la deuxième place, derrière les pirates informatiques qui hébergent leurs propres sites de déploiement de malwares ou endommagent des sites légitimes avec des codes malveillants. Un pare-feu entreprise robuste est essentiel, ainsi que des pare-feu locaux activés sur tous vos périphériques, lesquels sont protégés avec une solution sécurité des nœuds d’extrémité.

Les opportunités se présentent sous de nombreuses formes. Non seulement les professionnels de la cybersécurité, mais aussi les pirates informatiques trouveront donc des récompenses potentielles avec le RGPD.

Sécurité des emails et conformité HIPAA

Sécurité des emails et conformité HIPAA

Les organisations de soins de santé sont la cible de hackers et des escrocs, et l’email est le vecteur d’attaque n° 1. 91% de toutes les cyberattaques commencent par un email de phishing.

Les chiffres du groupe de travail antiphishing indiquent que les utilisateurs finaux ouvrent 30% des emails de phishing qui arrivent dans leurs boîtes de réception.

Il est donc essentiel d’empêcher ces emails d’atteindre les boîtes de réception, tout comme il est essentiel de former les employés du secteur de la santé pour qu’ils soient davantage sensibilisés à la sécurité informatique.

Étant donné qu’un grand nombre d’atteintes à la protection des données dans les organismes de soins et de santé sont attribuables aux emails de phishing, ces établissements doivent donc mettre en place des moyens de défense robustes pour prévenir les attaques.

De plus, la sécurité des emails est un élément important de la conformité à la loi HIPAA. Le non-respect des règles de l’HIPAA sur la sécurité des emails est passible d’une sanction pécuniaire en cas d’atteinte à la protection des données.

La sécurité des emails est un élément important de la conformité à la HIPAA

Les règles de la HIPAA exigent que les organismes de soins et de santé mettent en œuvre des mesures de protection pour sécuriser les renseignements médicaux électroniques protégés afin d’assurer leur confidentialité, leur intégrité et leur disponibilité.

La sécurité des emails est un élément important de la conformité à l’HIPAA. Avec autant d’attaques sur les réseaux, à commencer par les emails de phishing, il est essentiel pour les organismes de soins et de santé de mettre en œuvre des mesures de protection contre l’hameçonnage afin de protéger leurs réseaux.

Le Bureau des droits civils du ministère de la Santé et des Services sociaux a déjà imposé des amendes aux organismes de soins de santé qui ont été victimes d’atteintes à la protection des données lorsque des employés ont été victimes d’emails de phishing. UW medicine a par exemple versé 750 000$ à l’Office for Civil Rights (OCR) à la suite d’une attaque liée à un malware lorsqu’un employé a répondu à un email de phishing. Le Metro Community Provider Network a également réglé une affaire de phishing pour 400 000$.

L’évaluation des risques est l’un des aspects de la conformité à la HIPAA en ce qui concerne la messagerie électronique. Elle devrait couvrir tous les systèmes, y compris les emails. Les risques doivent être évalués, puis gérés et réduits à un niveau approprié et acceptable.

Pour assurer la gestion du risque de phishing, il faut faire appel à la technologie et à la formation. Tous les emails devraient être acheminés par une passerelle email sécurisée, et il est essentiel que les employés reçoivent une formation pour les sensibiliser au risque de phishing et quant aux mesures à prendre au cas où ils recevraient un email suspect.

Comment sécuriser les emails, prévenir et identifier les attaques de phishing ?

De nos jours, les emails de phishing sont sophistiqués, bien écrits et très convaincants. Il est souvent difficile de les distinguer d’une communication légitime.

Cependant, il existe des mesures simples que tous les organismes de soins et de santé peuvent prendre pour améliorer la sécurité des emails.

Le simple fait d’adopter les mesures ci-dessous peut réduire considérablement le risque de phishing et la probabilité de subir une atteinte par courriel.

Bien que la désinstallation de tous les services de messagerie soit le seul moyen le plus sûr de prévenir les attaques de phishing, c’est loin d’être une solution pratique. La messagerie électronique est essentielle pour communiquer avec les membres du personnel, les intervenants, les associés d’affaires et même les patients.

Étant donné que les emails sont incontournables, les organismes de soin et de santé devraient prendre deux mesures pour mieux les sécuriser :

Implémentez une solution antispam tierce dans votre infrastructure de messagerie électronique

Sécuriser votre passerelle email est la mesure la plus importante à prendre pour prévenir les attaques de phishing qui ciblent votre entreprise. De nombreuses organisations de soins et de santé ont déjà ajouté une solution antispam pour empêcher les courriels non sollicités d’être livrés dans les boîtes de réception des utilisateurs finaux. Mais qu’en est-il des services de messagerie dans le cloud ?

Avez-vous déjà sécurisé votre passerelle de messagerie électronique Office 365 avec une solution tierce ? Vous devriez donc être protégé par le filtre antispam de Microsoft. Mais pour qu’un email malveillant n’atteigne pas les boîtes de réception des utilisateurs finaux, vous avez besoin de défenses plus solides.

SpamTitan s’intègre parfaitement à Office 365 et offre une couche de sécurité supplémentaire qui bloque les malwares connus et plus de 99,9% des spams.

Formez continuellement vos employés et ils deviendront des actifs de sécurité

Les utilisateurs finaux — la cause d’innombrables violations de données — représentent une épine dans le pied pour le personnel de sécurité informatique.

Ils sont un maillon faible et peuvent facilement défaire les meilleures défenses de sécurité. Toutefois, ils peuvent être transformés en actifs de sécurité et en une impressionnante dernière ligne de défense. C’est possible, mais il faut les former, et une seule séance de formation par an ne suffit pas.

La formation de l’utilisateur final est un élément important de la conformité HIPAA. Bien que ce texte ne précise pas sa fréquence, la formation devrait être un processus continu.

Le Bureau des droits civils du ministère de la Santé et des Services sociaux a récemment mis l’accent sur certaines pratiques exemplaires en matière de formation à la sécurité des emails dans son bulletin de juillet sur la cybersécurité. Il suggère que « le programme de formation d’une organisation devrait être un processus continu, évolutif et suffisamment souple pour informer les membres du personnel des nouvelles menaces à la cybersécurité et des mesures à prendre pour y faire face ».

La fréquence de la formation devrait être dictée par le niveau de risque auquel fait face une organisation. De nombreuses entités ont opté pour des sessions de formation semestrielles pour leur personnel, avec des bulletins d’information mensuels. Des mises à jour de sécurité ont également été envoyées par email, incluant des informations sur les dernières menaces telles que les nouvelles escroqueries par phishing et les techniques d’ingénierie sociale.

Par ailleurs, l’OCR a rappelé aux entités visées par la HIPAA qu’il n’y a aucune méthode de formation qui correspond à tous les employés.

Il est préférable de mélanger les méthodes et d’utiliser une variété d’outils de formation, comme la formation sur la TCC, les séances en classe, les bulletins d’information, les affiches, les alertes par courriel, les discussions d’équipe et les exercices de simulation d’attaques par emails de phishing.

Étapes simples pour vérifier les emails et identifier les escroqueries de phishing

Les employés du secteur de la santé peuvent réduire considérablement le risque de tomber dans une escroquerie par phishing en effectuant quelques vérifications. Avec la pratique, ces vérifications deviennent une seconde nature.

  • Passez la souris sur l’hyperlien dans l’email pour faire afficher et vérifier le vrai nom de domaine. Tout texte d’ancre, c’est-à-dire un texte pointant vers un autre URL que l’URL réel, doit être traité comme suspect jusqu’à ce que le nom de domaine réel soit identifié. Vérifiez également que l’URL de destination commence par HTTPS.
  • Ne répondez jamais directement à un email — cliquez toujours sur transférer. C’est un peu plus lent, mais vous verrez l’adresse email complète de la personne qui a envoyé le message. Vous pouvez ensuite comparer ce nom de domaine à celui utilisé par l’entreprise.
  • Portez une attention particulière à la signature de l’email — tout email légitime doit contenir des informations de contact. Cela peut être falsifié, ou de vraies informations de contact peuvent être utilisées dans un email spam, mais les cybercriminels font souvent des erreurs dans les signatures qui sont faciles à identifier.
  • N’ouvrez jamais une pièce jointe d’un expéditeur inconnu — Si vous avez besoin d’ouvrir la pièce jointe, ne cliquez jamais sur un lien dans le document ou sur un objet intégré, ou cliquez pour activer le contenu ou exécuter des macros. Si vous n’êtes pas sûr de vous, envoyez l’email à votre service informatique et demandez une vérification.
  • N’effectuez jamais un virement bancaire demandé par email sans vérifier la légitimité de la demande.
  • Les organisations légitimes ne demanderont pas d’informations d’identification par email.

Si on vous demande de prendre des mesures urgentes pour sécuriser votre compte, n’utilisez aucun des liens contenus dans cet email. Visitez plutôt le site officiel en tapant directement l’URL dans votre navigateur. Si vous n’êtes pas 100% de l’URL, vérifiez sur Google.

Comment protéger les renseignements personnels identifiables dans le cadre du RGPD ?

Comment protéger les renseignements personnels identifiables dans le cadre du RGPD ?

À partir du 25 mai 2018, toutes les entreprises faisant affaire avec des résidents de l’Union européenne (UE) doivent se conformer au Règlement Général sur la Protection des Données (RGPD).

Comment les entreprises peuvent-elles protéger les renseignements personnels identifiables en vertu du RGPD et éviter une pénalité en cas de non-respect ?

Qu’est-ce que le Règlement Général sur la Protection des Données (RGPD)

Le RGPD est un nouveau règlement de l’UE qui obligera les entreprises à mettre en œuvre des politiques, procédures et technologies visant à améliorer la protection de la vie privée des consommateurs. Cette loi donne également aux citoyens de l’UE davantage de droits sur les données enregistrées et stockées par les entreprises.

Le RGPD s’applique à toutes les entreprises qui font des affaires avec des citoyens de l’UE, qu’elles soient basées ou non dans l’UE. Cela signifie qu’une entreprise disposant d’un site web accessible aux résidents de l’UE serait tenue de s’y conformer.

Les renseignements personnels identifiables comprennent un large éventail d’éléments d’information concernant les consommateurs. En plus des noms, adresses, numéros de téléphone, informations financières et médicales, ces renseignements incluent les adresses IP, les identifiants de connexion, les vidéos, les photos, les messages sur les médias sociaux et les données de localisation, notamment les informations permettant d’identifier une personne spécifique.

Des politiques doivent être élaborées concernant les personnes dont les données sont collectées, les responsables du traitement (organisations qui collectent les données) et les sous-traitants (entreprises qui traitent les données). Des registres doivent être tenus sur la façon dont les données sont recueillies, stockées, utilisées et supprimées lorsqu’elles ne sont plus nécessaires.

Certaines entreprises sont tenues de nommer un délégué à la protection des données (DPD) dont le rôle est de veiller au respect du RGPD. Cette personne doit avoir une compréhension approfondie concernant le RGPD et une connaissance technique des processus, des procédures et de la structure de l’organisation.

D’une part, les entreprises doivent s’assurer que les données sont stockées en toute sécurité et que les consommateurs ont le droit de voir leurs données stockées effacées. D’autre part, le RGPD les oblige à divulguer rapidement les atteintes à la protection des données, à savoir dans les 72 heures suivant leur découverte.

Le non-respect du RGPD pourrait entraîner de lourdes amendes, allant jusqu’à 20 000 000 euros ou jusqu’à 4 % du chiffre d’affaires annuel de l’entreprise concernée, le montant le plus élevé étant retenu.

Beaucoup d’entreprises ne sont pas encore préparées au RGPD ou pensent que ce règlement ne les concerne pas. D’autres se sont rendu compte de l’ampleur du travail à accomplir et se sont efforcés de mettre leur entreprise en conformité avant l’échéance. Pour de nombreuses entreprises, le coût de la conformité a été considérable.

Comment puis-je protéger les renseignements personnels identifiables dans le cadre du RGPD ?

Le RGPD impose un certain nombre de restrictions sur ce que les entreprises peuvent et ne peuvent pas faire avec les données et la manière dont celles-ci doivent être protégées, bien qu’aucun contrôle spécifique ne leur soit exigé pour protéger les renseignements personnels identifiables en vertu de la réglementation. Quant à la technologie utilisée pour protéger les données, elle est laissée à la discrétion de chaque entreprise. En réalité, il n’existe pas de modèle normalisé pour protéger les renseignements personnels identifiables dans le cadre du RGPD.

Un bon point de départ consiste à examiner les processus et les systèmes qui recueillent et stockent les données. Elles doivent être localisées avant de pouvoir être protégées. Les systèmes et processus doivent également être identifiés pour assurer l’application de contrôles appropriés.

Le RGPD est rattaché au droit à l’oubli (ou droit à l’effacement), de sorte que toutes les données relatives à une personne doivent être effacées lorsqu’une personne le demande. Il est donc essentiel qu’une entreprise sache où se trouvent toutes les données relatives aux personnes pour lesquelles les données ont été collectées. Par ailleurs, des contrôles doivent être mis en place pour restreindre l’accès des personnes ayant accès aux données des consommateurs et une formation doit être dispensée pour que tous les employés connaissent le RGPD et la façon dont il s’applique à eux.

Les entreprises devraient procéder à une évaluation des risques pour déterminer le niveau pertinence et de gravité des dangers. Cette évaluation peut être utilisée pour déterminer les technologies les plus appropriées à mettre en œuvre.

Des technologies permettant la pseudonymisation et le chiffrement des données devraient être envisagées. Si les données sont stockées sous forme chiffrée, elles ne sont plus considérées comme des données personnelles.

Les entreprises doivent envisager de mettre en œuvre une technologie qui améliore la sécurité des systèmes et des services de traitement des données ; des mécanismes qui permettent de restaurer les données en cas de violation, ainsi que des politiques qui testent régulièrement les contrôles de sécurité.

Pour protéger les renseignements personnels identifiables dans le cadre de RGPD, les organisations doivent sécuriser tous les systèmes et applications utilisés pour stocker ou traiter des données personnelles et mettre en place des contrôles pour protéger leurs infrastructures informatiques. Il faudrait également mettre en place des systèmes permettant aux entreprises de détecter les atteintes à la protection des données en temps réel.