Il est surprenant de constater que bon nombre des pires cyberattaques contre l’industrie de la santé ne sont pas signalées. L’attaque de WannaCry en mars, qui a paralysé les organisations de santé à travers la Grande-Bretagne, met en évidence la vulnérabilité des systèmes de sécurité réseau des établissements hospitaliers.
Selon un récent sondage mené par Bloomberg Law et l’American Health Lawyers Association auprès de 300 avocats présents à l’assemblée annuelle de l’Association of Corporate Counsel, cela s’est effectivement produit. L’enquête a révélé que 97 % des avocats travaillant pour des établissements de santé estiment que leurs organisations sont plus exposées aux cyberattaques que celles des autres secteurs. C’est presque unanime ! Voici quelques-unes des autres conclusions de l’enquête :
- 70 % des personnes interrogées s’efforcent de développer une expertise en matière de sécurité des données pour faire face à une telle situation.
- 84 % disent avoir été appelés à évaluer si un incident de sécurité implique des obligations de déclaration. La plupart d’entre eux ont ensuite été invités à élaborer des politiques et procédures internes pertinentes.
- 97 % ont déclaré qu’ils s’attendent à ce que leur participation aux questions de cybersécurité continuera d’augmenter au cours des prochaines années.
- 40 % ont indiqué que leurs organisations ou leurs clients ont des plans trop génériques et qu’ils n’ont pas de directives et ne réalisent pas d’essais spécifiques.
Le tiers des répondants ont déclaré que les plans de leur organisation n’étaient pas à jour pour faire face aux derniers types de menaces informatiques ou de changements organisationnels.
En fait, il ne faut pas l’avis de 300 avocats pour comprendre que les établissements des soins de santé sont vulnérables aux attaques cybercriminelles. D’autres rapports ont montré que 88 % des attaques de ransomware – qui se sont produites au cours du deuxième trimestre de 2016 – étaient dirigées contre des organismes de soins de santé. La menace est tellement préoccupante que Jocelyn Samuels, directeur du Bureau des droits civils du HHS, a déclaré :
« L’une des plus grandes menaces actuelles en matière de protection de la confidentialité des renseignements médicaux est la compromission grave de l’intégrité et de la disponibilité des données causée par les cyberattaques malveillantes sur les systèmes électroniques d’information sur la santé, à l’instar des programmes de ransomware. »
Les avocats ne sont pas les seuls à se préoccuper de la sécurité de leurs organisations de soins de santé. Dans un sondage mené par KPMG, 80 % des personnels de santé a déclaré que leur technologie de l’information avait été compromise cette année.
Cela n’a pas toujours été le cas. Il y a à peine trois ans, les organisations de soins de santé n’étaient pas aussi assiégées par la cybercriminalité qu’elles le sont aujourd’hui. Selon le rapport annuel Cyber Security Intelligence Index 2016, publié par IBM X-Force, cinq des huit plus importantes atteintes à la sécurité des soins de santé qui se sont produites depuis le début de 2010 ont eu lieu pendant les six premiers mois de 2015. Dans chacune de ces huit attaques, plus d’un million d’enregistrements ont été compromis. En fait, une seule attaque qui s’est produite en fin 2015 s’est soldée par le compromis de 80 millions d’enregistrements. Dans les conclusions d’IBM, la comparaison suivante illustre cette tendance inquiétante :
Les cinq principaux secteurs ciblés par les cyberattaques en 2015 :
- Soins de santé
- Fabrication
- Services financiers
- Gouvernement
- Transport
Les cinq premiers secteurs ciblés par les cyberattaques en 2014 :
- Services financiers
- Information/communication
- Fabrication
- Vente au détail
- Énergie et services publics
Comme vous pouvez le constater, en 2014, les soins de santé n’étaient même pas sur la carte en tant que principales cibles des cyberattaques. Mais en un an, ils ont dépassé les services financiers. Dans l’ensemble, le nombre d’attaques cybercriminelles perpétrées contre les organismes de santé a augmenté de plus de 125 % entre 2010 et 2015.
Cette évolution alarmante pourrait s’expliquer par le fait que les cybercriminels reconnaissent que les données relatives aux soins de santé sont d’une grande valeur pour eux. Selon un article publié par Reuters en 2015, les renseignements sur les dossiers médicaux ont une valeur plus élevée que les données des cartes de crédit.
Dans un autre rapport de l’InfoSec Institute, les numéros d’identification de Medicare ont atteint un prix beaucoup plus élevé sur le marché noir et le dark web que les numéros de sécurité sociale en 2015. Les dossiers de santé électronique (DSE) des patients contiennent des données qui peuvent être vendues à des fins multiples, comme le vol d’identité médicale ou les demandes frauduleuses de remboursement de médicaments sur ordonnance. L’un des inconvénients majeurs des DSE est que, contrairement aux cartes de crédit, les données médicales ne peuvent ni être annulées ni rééditées.
Cette tendance à la hausse des attaques cybercriminelles ciblant des soins de santé peut également être attribuée au fait que ce secteur est beaucoup plus vulnérable que d’autres, comme les services financiers qui ont une expérience considérable dans le renforcement de leurs systèmes de sécurité. Par le passé, les hôpitaux et les établissements de soins de santé similaires avaient généralement un personnel informatique minimal qui n’avait pas les connaissances et l’expérience nécessaires pour combattre ces menaces croissantes. Heureusement, la situation s’améliore. À titre d’indicateur, de nombreuses grandes organisations recrutent à présent des responsables de la sécurité de l’information du secteur des services financiers et de l’énergie avec de vastes programmes de rémunération. Il y a tout juste deux ans, ce poste n’existait presque pas au sein de l’industrie des soins de santé.
De telles mesures sont aujourd’hui indispensables dans le secteur de la santé. Selon le Ponemon Institute, un chef de file de la recherche sur la sécurité, le coût moyen d’une atteinte à la sécurité d’un organisme de santé américain est de plus de 2,2 millions de dollars. Sur une base sectorielle globale, on estime que le coût annuel s’élève à 6,2 milliards de dollars. À un moment donné, ces pertes seront insoutenables et pourraient mener à des faillites, ou pire encore. Ce qui est bien, c’est que les dirigeants de l’industrie, les conseillers juridiques et même le Congrès américain et d’autres gouvernements ont reconnu la gravité du problème.
Vous êtes un professionnel de l’informatique travaillant dans le secteur de la santé et vous souhaitez assurer la protection des données et de vos appareils sensibles ? Parlez à un spécialiste ou envoyez-nous un courriel pour toute question.