À partir du 25 mai 2018, toutes les entreprises faisant affaire avec des résidents de l’Union européenne (UE) doivent se conformer au Règlement Général sur la Protection des Données (RGPD).
Comment les entreprises peuvent-elles protéger les renseignements personnels identifiables en vertu du RGPD et éviter une pénalité en cas de non-respect ?
Qu’est-ce que le Règlement Général sur la Protection des Données (RGPD)
Le RGPD est un nouveau règlement de l’UE qui obligera les entreprises à mettre en œuvre des politiques, procédures et technologies visant à améliorer la protection de la vie privée des consommateurs. Cette loi donne également aux citoyens de l’UE davantage de droits sur les données enregistrées et stockées par les entreprises.
Le RGPD s’applique à toutes les entreprises qui font des affaires avec des citoyens de l’UE, qu’elles soient basées ou non dans l’UE. Cela signifie qu’une entreprise disposant d’un site web accessible aux résidents de l’UE serait tenue de s’y conformer.
Les renseignements personnels identifiables comprennent un large éventail d’éléments d’information concernant les consommateurs. En plus des noms, adresses, numéros de téléphone, informations financières et médicales, ces renseignements incluent les adresses IP, les identifiants de connexion, les vidéos, les photos, les messages sur les médias sociaux et les données de localisation, notamment les informations permettant d’identifier une personne spécifique.
Des politiques doivent être élaborées concernant les personnes dont les données sont collectées, les responsables du traitement (organisations qui collectent les données) et les sous-traitants (entreprises qui traitent les données). Des registres doivent être tenus sur la façon dont les données sont recueillies, stockées, utilisées et supprimées lorsqu’elles ne sont plus nécessaires.
Certaines entreprises sont tenues de nommer un délégué à la protection des données (DPD) dont le rôle est de veiller au respect du RGPD. Cette personne doit avoir une compréhension approfondie concernant le RGPD et une connaissance technique des processus, des procédures et de la structure de l’organisation.
D’une part, les entreprises doivent s’assurer que les données sont stockées en toute sécurité et que les consommateurs ont le droit de voir leurs données stockées effacées. D’autre part, le RGPD les oblige à divulguer rapidement les atteintes à la protection des données, à savoir dans les 72 heures suivant leur découverte.
Le non-respect du RGPD pourrait entraîner de lourdes amendes, allant jusqu’à 20 000 000 euros ou jusqu’à 4 % du chiffre d’affaires annuel de l’entreprise concernée, le montant le plus élevé étant retenu.
Beaucoup d’entreprises ne sont pas encore préparées au RGPD ou pensent que ce règlement ne les concerne pas. D’autres se sont rendu compte de l’ampleur du travail à accomplir et se sont efforcés de mettre leur entreprise en conformité avant l’échéance. Pour de nombreuses entreprises, le coût de la conformité a été considérable.
Comment puis-je protéger les renseignements personnels identifiables dans le cadre du RGPD ?
Le RGPD impose un certain nombre de restrictions sur ce que les entreprises peuvent et ne peuvent pas faire avec les données et la manière dont celles-ci doivent être protégées, bien qu’aucun contrôle spécifique ne leur soit exigé pour protéger les renseignements personnels identifiables en vertu de la réglementation. Quant à la technologie utilisée pour protéger les données, elle est laissée à la discrétion de chaque entreprise. En réalité, il n’existe pas de modèle normalisé pour protéger les renseignements personnels identifiables dans le cadre du RGPD.
Un bon point de départ consiste à examiner les processus et les systèmes qui recueillent et stockent les données. Elles doivent être localisées avant de pouvoir être protégées. Les systèmes et processus doivent également être identifiés pour assurer l’application de contrôles appropriés.
Le RGPD est rattaché au droit à l’oubli (ou droit à l’effacement), de sorte que toutes les données relatives à une personne doivent être effacées lorsqu’une personne le demande. Il est donc essentiel qu’une entreprise sache où se trouvent toutes les données relatives aux personnes pour lesquelles les données ont été collectées. Par ailleurs, des contrôles doivent être mis en place pour restreindre l’accès des personnes ayant accès aux données des consommateurs et une formation doit être dispensée pour que tous les employés connaissent le RGPD et la façon dont il s’applique à eux.
Les entreprises devraient procéder à une évaluation des risques pour déterminer le niveau pertinence et de gravité des dangers. Cette évaluation peut être utilisée pour déterminer les technologies les plus appropriées à mettre en œuvre.
Des technologies permettant la pseudonymisation et le chiffrement des données devraient être envisagées. Si les données sont stockées sous forme chiffrée, elles ne sont plus considérées comme des données personnelles.
Les entreprises doivent envisager de mettre en œuvre une technologie qui améliore la sécurité des systèmes et des services de traitement des données ; des mécanismes qui permettent de restaurer les données en cas de violation, ainsi que des politiques qui testent régulièrement les contrôles de sécurité.
Pour protéger les renseignements personnels identifiables dans le cadre de RGPD, les organisations doivent sécuriser tous les systèmes et applications utilisés pour stocker ou traiter des données personnelles et mettre en place des contrôles pour protéger leurs infrastructures informatiques. Il faudrait également mettre en place des systèmes permettant aux entreprises de détecter les atteintes à la protection des données en temps réel.
Les organisations de soins de santé traversent une période difficile en matière de cybersécurité.
En effet, le fait de ne pas prévenir les attaques par phishing ne justifie pas nécessairement le paiement d’une amende de conformité HIPAA. Mais le fait de ne pas mettre en œuvre des mesures de protection suffisantes pour prévenir de telles attaques pourrait causer des problèmes aux entités couvertes par cette loi sur l’accès à l’information et la protection de la vie privée.
Les pirates informatiques et les cybercriminels continuent de cibler l’industrie des soins de santé. Selon le rapport « Internet Security Threat Report 2017 » de Symantec sur les menaces de sécurité Internet, le nombre de brèches a augmenté de 22% en 2016. Avec une telle augmentation, l’industrie des soins de santé a donc enregistré le deuxième plus grand nombre d’incidents de sécurité dans le secteur des services l’an dernier.
D’autre part, les organismes de soins de santé doivent se conformer à une longue liste de règlements imposés par la loi HIPAA et faire face aux conséquences des amendes élevées pour non-conformité.
Au cours des trente derniers jours, deux règlements importants concernant les atteintes à la vie privée résultant de « petits » incidents illustrent à quel point les tâches nécessaires pour protéger les cyberenvironnements des organisations de soins de santé sont vastes. Pour ceux qui ont la responsabilité de soutenir les infrastructures informatiques dans le domaine de la santé, tout cela représente une nuit blanche.
2,5 millions de dollars d’amendes en vertu de la LPVPH
Le mois dernier, le Département de la Santé et des Services sociaux des États-Unis et l’« Office for Civil Rights » (OCR) ont annoncé le règlement d’une amende de 2,5 millions de dollars par la société CardioNet, basée en Pennsylvanie, en vertu de la loi HIPAA. La raison est la divulgation non autorisée de renseignements médicaux électroniques protégés et non sécurisés le mois dernier. Cela fait suite à une enquête de cinq ans concernant le vol de l’ordinateur portable d’un employé dans un véhicule contenant 1391 dossiers de patients.
En bref, CardioNet ne disposait pas d’un système d’analyse des risques ni de processus de gestion des risques suffisants au moment du vol. En plus du règlement financier, CardioNet doit également mettre en œuvre un plan de mesures correctives. Il s’agit de la première amende de ce genre et qui implique un fournisseur de services de santé sans fil. À noter que CardioNet est l’un des principaux fournisseurs de services mobiles de télémétrie cardiaque ambulatoire.
Ce cas est un exemple des défis de sécurité auxquels sont confrontées les organisations de soins de santé dans le monde mobile d’aujourd’hui.
Dans un autre règlement annoncé le mois dernier, le Metro Community Provider Network (MCPN) du Colorado est contraint de verser 400 000 dollars et de mettre en œuvre un plan de mesures correctives. L’enquête menée par l’OCR a révélé que le MCPN n’a pas effectué une analyse des risques en temps opportun, ni effectué une évaluation complète des risques et des vulnérabilités de son environnement ePHI (Environmental Public Health Indicators).
Cette affaire concerne également un incident qui remontait à 2012, année à laquelle le MCPN avait déposé un rapport d’atteinte à la sécurité des renseignements personnels. En effet, 3 200 dossiers de RPS (prévention des risques psychosociaux) ont été compromis et volés par un pirate informatique. La brèche a été commise parce que le pirate avait accédé aux comptes de courriel des employés à la suite d’une attaque de phishing.
Pour ce cas précis, un employé avait cliqué sur un lien qui a ensuite impliqué le déploiement de logiciels malwares sur son ordinateur, ce qui a permis au pirate de lancer l’attaque à distance. Ce clic a coûté 400 000 dollars à MCPN.
Le phishing et les keyloggers sont les véhicules de distribution les plus populaires
Aussi élevées qu’elles puissent paraître, ces amendes ne sont pas les plus importantes. Au début de février, Memorial Healthcare System (MHS) a dû débourser 5,5 millions de dollars pour régler des infractions plus importantes, car les dossiers ePHI ont été consultés par quelqu’un qui utilisait les identifiants de connexion d’un ancien employé. Cette action n’a pas été détectée pendant au moins un an.
Malheureusement, l’acquisition et l’utilisation de comptes d’employés dans le secteur de la santé sont maintenant courantes dans l’ensemble de l’industrie, comme l’indiquait récemment un article paru dans HealthcareITNews le 10 mars 2017.
L’article résume les résultats d’une étude récente selon laquelle 68% des organisations de soins de santé avaient des identifiants de courrier électronique compromis. Parmi ces comptes compromis, 76% étaient à vendre sur le dark web, et les deux moyens les plus populaires utilisés pour accéder à ces comptes étaient le phishing et les keyloggers.
Ces trois violations étaient toutes le résultat d’incidents simples et évitables, soit d’un compte de connexion compromis, soit d’un ordinateur portable volé ou encore d’un simple clic sur un e-mail de phishing.
Selon un rapport Verizon, 43 % de toutes les atteintes à la protection des données ont eu recours au phishing.
Le même rapport a montré que 32% des incidents de sécurité signalés étaient le résultat de vols de biens. Le fait est que la plupart des infractions impliquent les tentatives les plus simples, en particulier le phishing.
Cette année, la plus grande brèche s’est produite à l’École de médecine de l’Université de Washington, où plus de 80 000 dossiers de patients ont été compromis, tout cela parce qu’un employé a répondu à un e-mail de phishing, conçu pour ressembler à une demande de traitement légitime.
Ce degré de personnalisation fait partie d’une tendance croissante dans les attaques contre les soins de santé, y compris celles de ransomware dans lesquelles les souches de Ransomware as a Service (RaaS), Philadelphia, sont maintenant personnalisées spécifiquement pour l’industrie de la santé.
Tout cela montre clairement que ce n’est pas la pénétration complexe des périmètres de sécurité réseau, par des pirates informatiques insaisissables et très talentueux, qui doit préoccuper les équipes informatiques du secteur de la santé. Il s’agit plutôt se focaliser sur les éléments de base, à savoir s’assurer que tous les comptes de messagerie soient protégés par le dernier filtrage antispam, que des politiques strictes en matière de mots de passe soient appliquées, ou encore que des inventaires de localisation des données soient effectués régulièrement pour s’assurer que tous les silos de données puissent être entièrement protégés.
L’application de ces mesures de sécurité peut non seulement protéger les dossiers des patients, mais aussi permettre à votre entreprise d’économiser des millions de dollars, plutôt que d’être contraint de régler les potentiels dommages en raison d’une faille au niveau de la sécurité informatique.
Vous êtes un professionnel de l’informatique qui travaille dans le secteur de la santé et vous souhaitez assurer la protection de vos données et de vos appareils sensibles ? Parlez à un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.com pour toute question.
Le mois dernier, le nombre de fuites de données dans le domaine de la santé a considérablement augmenté, ce qui démontre clairement que les fournisseurs de soins de santé, les mutuelles et les partenaires commerciaux ont du mal à prévenir les fuites de données de santé.
La règle de sécurité de la Health Insurance Portability and Accountability Act (HIPAA) a été introduite pour s’assurer que les organisations de soins de santé mettent en œuvre une série de mesures de protection pour assurer la confidentialité, l’intégrité et la disponibilité des données sur les soins de santé.
Cela fait maintenant plus de dix ans que la Règle de sécurité a été introduite et les fuites de données continuent de se produire à une fréquence alarmante. En fait, il y a plus d’fuites de données que jamais auparavant.
Les fuites de données en chiffres
Au mois d’octobre 2017, l’organisme de soins de santé Henry Ford Health System de Détroit a annoncé avoir été victime d’un acte de piratage, impliquant le vol de 18 470 dossiers de patients.
Les 25 et 26 juillet, un centre de chirurgie buccofaciale en Arkansas a également été infiltré par un virus. À cause de cet incident, l’ensemble du personnel ne pouvait pas accéder aux images, fichiers et notes concernant 128 000 patients.
En septembre, le centre médical universitaire d’Augusta a, quant à lui, annoncé avoir été ciblé par une attaque cybercriminelle. Bien que seulement moins de 1 % des dossiers de ses patients aient été volés lors de cette attaque, l’établissement tenait à souligner qu’il s’agissait de la deuxième tentative de phishing menée à son encontre en seulement cinq mois.
Ces trois des violations de données de santé sont parmi les plus notables qui se sont produites en 2017. Pourtant, le rapport de l’Office for Civil Rights (OCR) du département de la Santé et des Services sociaux des États-Unis a annoncé avoir reçu 233 rapports de violation au milieu de l’année, soit 450 violations de plus comparées à celles constatées en 2016.
Le rapport du Baromètre des atteintes à la sécurité des données de Protenus pour le mois de septembre — qui fait le suivi de toutes les fuites de données sur les soins de santé signalées — a révélé 46 atteintes à la protection des renseignements médicaux en septembre. Ces atteintes ont entraîné l’exposition de 499 144 informations sensibles de particuliers.
Les incidents de piratage informatique ont été cités comme étant la cause de 50 % de ces infractions, les initiés ayant causé 32,6 % d’entre eux. La perte et le vol d’appareils sont à l’origine de près de 11 % des brèches du mois.
Les rapports mensuels précédents en 2017 ont également montré que les initiés sont souvent la principale cause des fuites de données dans le domaine de la santé.
Quelques scénarios d’attaques impliquant une fuite de données et donc la violation de la loi HIPAA
La fuite de données résulte souvent de leur divulgation involontaire par vos employés. Ces derniers peuvent par exemple envoyer des e-mails à la mauvaise adresse ou envoyer une mauvaise pièce jointe à une personne qui ne devrait pas la recevoir. Elle peut aussi être due au paramétrage accidentel de l’accès à certaines informations électroniques, permettant ainsi à d’autres utilisateurs de les consulter ou de les exploiter.
Par ailleurs, il ne faut pas négliger les attaques de malwares et le piratage qui peuvent entraîner une violation des données. En fait, les établissements de soins et de santé stockent souvent leurs informations sensibles dans leurs serveurs internes. Lorsqu’il y a des failles de sécurité sur ces serveurs, tout malware ou piratage peut causer des mésaventures pour le personnel ou les patients.
Les menaces peuvent aussi provenir de l’intérieur d’une organisation. Des personnes aux intentions malveillantes, comme des employés actuels et anciens ou des tiers (associés, sous-traitants, etc.), peuvent volontairement divulguer des données dans le but nuire à la réputation de votre établissement, entre autres.
Prenez en compte le risque que peut représenter la perte physique des appareils utilisés par votre personnel et qui contiennent des informations médicales personnelles électroniques.
Enfin, sachez que les escrocs n’hésiteront pas à fouiner dans vos bacs de recyclage du papier à la recherche de données critiques. Si vous devez jeter certains documents contenant des informations critiques, assurez-vous donc de les déchiqueter correctement, car ils peuvent être à l’origine de violations de données.
Les amendes infligées aux entités couvertes par l’HIPAA et aux associés commerciaux peuvent être élevées
Selon la loi HIPAA, la responsabilité des violations de données concerne les entités couvertes, comme les cabinets médicaux, les hôpitaux et les caisses d’assurance maladie. La loi HITECH a élargi la définition des organisations imputables à cette responsabilité, en incluant également les associés commerciaux.
Les conséquences d’une fuite entraînant une violation de données pour les organisations susmentionnées peuvent aller au-delà de la ruine de leur réputation. En ce qui concerne les amendes, le montant est devenu beaucoup plus important qu’auparavant, allant de 100 à 50 000 dollars par violation. Les amendes maximales peuvent même atteindre 1,5 million de dollars au cas où une négligence délibérée serait prouvée comme cause de la violation.
Les données publiées sur le site web de l’OCR, relatives aux violations de données dans le secteur de santé, ont révélé que les mesures d’application de la loi HIPAA n’ont cessé d’augmenter au cours des dix dernières années.
D’un côté, les amendes et les règlements ont fortement augmenté, ce qui est dû en grande partie à la nouvelle volonté de l’organisation de faire respecter ladite loi. De l’autre côté, le montant des pénalités a aussi connu une hausse considérable entre 2015 et 2018.
C’est en 2018 que l’une des plus grandes pénalités financières a été infligée à l’encontre de l’entreprise américaine d’assurance maladie Anthem Inc. en raison de la violation de la loi HIPAA. Cela fait suite à une enquête sur sa violation de données menée par l’OCR en 2015, lors de laquelle l’organisation avait découvert une atteinte à la sécurité de 78,8 millions d’enregistrements. Pour régler cette affaire, Anthem Inc. a dû payer 16 millions de dollars.
Selon la loi HITECH, les patients concernés doivent être informés individuellement des éventuelles atteintes aux informations de santé personnelles. Toute violation de données impliquant plus de 500 patients doit aussi être signalée aux médias de l’État concerné.
La conformité à la loi HIPAA n’empêchera pas les fuites de données dans le domaine de la santé
La conformité à la loi HIPAA peut contribuer dans une certaine mesure à rendre les organisations de soins de santé plus résistantes aux cyberattaques, aux malwares et aux infections par des ransomwares. Pourtant, le simple respect des règles de sécurité de la loi HIPAA ne signifie pas nécessairement que les organisations seront insensibles aux attaques.
La conformité à la loi HIPAA vise à relever la barre en matière de cybersécurité et à garantir le maintien d’une norme minimale. Bien que de nombreuses organisations de soins de santé considèrent la conformité à la loi HIPAA comme un objectif pour obtenir une bonne posture de sécurité, la réalité est que ce n’est qu’une référence.
Pour prévenir les fuites de données, les organismes de soins de santé doivent aller au-delà des exigences de la loi HIPAA.
Compte tenu des scénarios possibles et des chiffres suscités, outre les coûts élevés qui sont associés aux fuites de données, chaque entité couverte et leurs associés commerciaux doivent faire tout ce qui est en leur pouvoir pour éviter de telles situations.
Pour ce faire, les organisations peuvent adopter différentes sortes de stratégies préventives. Voici nos conseils pour vous aider à protéger vos données sensibles.
Le chiffrement des données est nécessaire, mais pas suffisant
Les causes principales des violations de données ont connu des changements notables au fil des ans. Même si la fuite liée à la perte ou au vol d’informations médicales électroniques et de dossiers médicaux protégés avait dominé les rapports de violation, l’amélioration des politiques et des procédures ainsi que l’utilisation du chiffrement ont contribué à réduire les risques qui sont facilement évitables.
L’une des principales causes des divulgations de renseignements médicaux personnels est la perte ou le vol d’ordinateurs portables, de clés USB et d’autres dispositifs mobiles. Bien que les employés puissent être formés pour prendre soin de leurs appareils, les voleurs saisiront toutes les occasions qui se présenteront si les appareils ne sont pas protégés.
La loi HIPAA n’exige pas l’utilisation du chiffrement et l’application d’autres mesures pour sécuriser les dispositifs. Cependant, les entités couvertes par la loi HIPAA et leurs partenaires commerciaux devraient utiliser le chiffrement sur les dispositifs portables pour s’assurer qu’en cas de perte ou de vol, les données ne peuvent être accessibles.
Si un appareil chiffré est volé ou perdu, il ne s’agit pas d’une violation de la loi HIPAA. L’utilisation du chiffrement sur les appareils mobiles est donc un bon moyen de prévenir les fuites de données médicales.
Les petits dispositifs de stockage portables tels que les clés USB sont pratiques, mais ils ne devraient jamais être utilisés pour transporter des renseignements médicaux – Ils sont beaucoup trop faciles à perdre ou à égarer. Utilisez des services de stockage en nuage conformes à la norme HIPAA, tels que Dropbox ou Google Drive, car ils sont plus sûrs.
Cependant, le chiffrement ne suffit pas à protéger les organisations contre les fuites et violations de données. De plus, il n’est pas suffisant en soi, dans la mesure où il ne protège pas les données lorsque celles-ci sont échangées sur un réseau.
Détectez rapidement les fuites internes
La prévention des fuites de données des initiés peut s’avérer difficile pour les organismes de soins de santé. Les employés d’un établissement de santé doivent avoir accès aux dossiers de leurs patients afin de fournir les soins médicaux adaptés. Le fait est qu’il y aura toujours un employé peu consciencieux qui risque de fouiner dans les dossiers des patients qu’il ne traite pas, ou bien des individus qui tenteront de voler des données pour les vendre à des cybercriminels.
La loi HIPAA exige que les organisations de soins de santé tiennent des registres d’accès et vérifient régulièrement ces registres pour détecter tout signe d’accès non autorisé. Le terme « régulièrement » est sujet à plusieurs interprétations différentes.
Un contrôle tous les six mois ou une fois par an pourrait être considéré comme régulier et conforme à cette loi. Cependant, au cours de ces 6 ou 12 mois, les dossiers de milliers de patients ont pu être consultés.
Les organisations de soins de santé devraient aller au-delà des exigences de la loi HIPAA et devraient idéalement mettre en œuvre un système qui surveille constamment l’accès non autorisé ou au moins effectuer des examens trimestriels du registre d’accès au minimum. Cela n’empêchera pas les fuites de données relatives aux soins de santé, mais réduira leur gravité.
Fermez la porte aux pirates informatiques
50 % des fuites en septembre étaient dues à des actes de piratage et à des incidents informatiques.
Les pirates informatiques sont opportunistes et, bien qu’il y ait des attaques ciblées contre de grandes organisations de soins de santé, la plupart du temps, les pirates informatiques tirent profit de vulnérabilités de longue date qui n’ont pas été traitées. Afin de corriger ces vulnérabilités, elles doivent d’abord être identifiées, d’où la nécessité d’analyses de risque régulières, comme l’exige la règle de sécurité HIPAA. Une analyse des risques à l’échelle de l’organisation devrait avoir lieu au moins une fois par an pour rester conforme à la loi HIPAA, mais plus fréquemment pour s’assurer que les vulnérabilités ne sont pas apparues.
De plus, une vérification devrait être effectuée au moins une fois par mois pour s’assurer que tous les logiciels sont à jour et que tous les correctifs ont été appliqués. Il y a eu récemment de nombreux exemples d’instances de stockage dans le cloud qui n’ont pas été protégées et étaient accessibles par le public. Il existe des outils gratuits qui peuvent être utilisés pour vérifier, par exemple, la présence de seaux AWS exposés. Des scanners devraient être effectués régulièrement. Les cybercriminels feront de même.
Gardez à l’esprit que, lorsque quelqu’un veut compromettre votre système, il voudra vous prendre au dépourvu. Pour fermer la porte aux pirates informatiques, vous devrez donc réaliser des tests de vulnérabilité et de pénétration à des moments aléatoires. Le mieux serait de faire appel à des tiers spécialisés en matière de sécurité pour confirmer que tous les mécanismes et protocoles nécessaires pour éviter la fuite de données sont en place et fonctionnent correctement.
En cas d’attaque réussie, communiquez les informations sur les fuites de données
Lorsqu’une organisation subit une fuite de données, elle cherchera normalement à régler le problème rapidement. Il peut sembler logique de se taire pour éviter de nuire à sa réputation. Seulement, le silence n’est pas la solution idéale. La transparence est même une obligation légale.
Tel que stipulé par la règle de notification des violations de la loi HIPAA, les entités couvertes ont l’obligation de signaler toute violation dans les 60 jours au ministère de la Santé et des Services sociaux des États-Unis au cas où 500 personnes ou plus seraient concernées.
Le plus important est de travailler avec votre équipe de communication pour qu’elle puisse entrer en relation avec les médias. Quant à votre équipe juridique, elle a pour rôle d’informer les autorités compétentes. Même les brèches de moindre importance peuvent être signalées annuellement.
Votre personnel doit aussi avoir une notification de l’attaque. C’est une mesure essentielle pour aider vos employés à apprendre à reconnaître les menaces comme le phishing et pour les empêcher de discuter de la violation à l’extérieur. Selon la taille et la portée de la brèche, il est possible que vous soyez contraint de faire des déclarations publiques.
Admettre une faiblesse est souvent difficile, mais le fait de retenir la nouvelle pendant une période prolongée pourrait également entrainer la perte de confiance des employés, des associés et des patients vis-à-vis de votre organisation.
Un conseil : n’expliquez que les détails nécessaires concernant l’incident ; documentez les erreurs commises par votre organisation et les actions que vous avez entreprises et enregistrez les réactions de vos employés et du public. C’est ainsi que votre établissement de santé pourra faire face aux violations de données à l’avenir.
Empêchez les divulgations de renseignements médicaux par votre personnel et vos associés commerciaux
Votre établissement de soins de santé doit s’appuyer sur un personnel diversifié pour mener à bien ses activités. Le problème est que chaque individu qui travaille au sein de votre établissement constitue un point d’exploitation possible pour l’ingénierie sociale, une méthode qui est de plus en plus utilisée par les pirates pour voler des données sensibles.
Par exemple, une personne aux intentions malveillantes peut prétendre être un médecin qui travaille au sein de votre établissement de santé et appeler l’un de vos collaborateurs pour demander des informations le concernant au téléphone ou par e-mail. N’oubliez pas que, dans ces cas, le respect de la règle de confidentialité de la loi HIPAA exige l’existence d’un système de contrôle approprié pour éviter toute violation de données.
La possibilité que le collaborateur concerné fournisse ou non les informations demandées dépendra de la façon dont il a été formé aux protocoles conformes à la loi HIPAA. Voici pourquoi il est essentiel de mener une campagne de sensibilisation régulière quant à la sécurité des données au sein de votre organisation.
Ce ne sont pas seulement les patients et employés qui doivent être conscients des risques liés à la fuite des données, mais aussi les entreprises extérieures et associés qui travaillent avec votre établissement de santé. Lorsqu’ils fournissent des services, ils doivent se conformer aux normes et protocoles appropriés afin d’empêcher tout accès non autorisé aux informations critiques.
Bloquez les attaques de malwares et de ransomwares
Les attaques de malwares et de ransomwares sont des violations à signaler en vertu de la loi HIPAA et peuvent entraîner des violations majeures des données. Le courrier électronique est le principal vecteur de diffusion des malwares ; il est donc essentiel de mettre en œuvre une solution efficace de filtrage des spams.
Passez en revue vos systèmes de protection de la messagerie électronique. Ne vous focalisez pas simplement sur le niveau du stockage et du transfert des e-mails ou sur la vérification de la certification de votre infrastructure informatique. Pensez directement à la sécurité des boîtes aux lettres électroniques de tous vos collaborateurs, car le système de messagerie électronique est la cible privilégiée des pirates pour mener des attaques de ransomwares et de phishing. L’essentiel est d’aller au-delà des passerelles de messagerie traditionnelles et d’utiliser celles qui sont spécifiquement conçues pour une sécurité élevée et pour la conformité à la loi HIPAA.
La loi HIPAA exige qu’une formation soit dispensée régulièrement aux employés, mais une séance de formation annuelle ne suffit plus. Des séances de formation devraient avoir lieu au moins tous les six mois, avec des alertes de sécurité régulières sur les dernières menaces de phishing communiquées aux employés, au besoin. Idéalement, la formation devrait être un processus continu, comprenant des exercices de simulation d’hameçonnage.
Les malwares et les ransomwares peuvent également être téléchargés lors d’attaques par drive-by lorsque vous naviguez sur Internet. Une solution de filtrage web devrait être utilisée pour empêcher les employés du secteur de la santé de visiter des sites malveillants, pour bloquer les sites web de phishing et pour empêcher le téléchargement de malwares par drive-by.
Un filtre web n’est pas une exigence de la loi HIPAA, mais il s’agit d’une couche de sécurité supplémentaire importante qui peut prévenir les fuites de données médicales.
La question n’est pas de savoir si vous serez victime d’une fuite de données, mais quand
Comme vous pouvez le constater, la raison pour laquelle votre organisation devrait se conformer à la loi HIPAA n’est pas seulement d’éviter les amendes, même si leur montant peut atteindre plusieurs millions de dollars. Il faut également tenir compte des dommages liés à la perte de réputation de votre entité, des frais juridiques et de réparations en cas d’atteinte à la sécurité des données.
N’oubliez pas également que les cyberattaques sont imprévisibles. Il n’y a aucun moyen de savoir quand elles se produiront, d’où elles viendront, ni l’étendue des dommages qu’elles pourraient causer à votre entité. Ce qui est certain, c’est que la plupart des violations de données majeures entraînent des dégâts chaotiques.
L’un des plus grands défis que vous devez relever est d’établir un plan d’action solide et flexible qui vous permettra de prévenir les attaques et de réagir en cas de crise. La formation du personnel à la prévention d’une violation et le chiffrement des données sont essentiels pour se conformer à la loi HIPAA. Mais cette conformité ne suffit pas pour mettre votre établissement à l’abri de nombreuses autres attaques cybercriminelles, dont les conséquences peuvent aussi être désastreuses.
Si vous avez besoin de conseils pour protéger votre organisation contre les fuites de données, les spams, les malwares, le phishing, etc., contactez l’équipe de TitanHQ dès aujourd’hui.
