Comment la MFA vous aide à protéger vos données de santé ?

L’un des aspects les plus rassurants lorsque l’on se rend chez le médecin ou chez un prestataire de soin, est de savoir que tout ce dont vous allez parler restera confidentiel. Votre dos est victime d’une éruption cutanée avec démangeaisons ? Cela restera entre vous et le médecin. Vous souhaitez échanger sur votre perte de cheveux ou votre prise de poids ? Cette conversation ne quittera pas la salle d’examen. Mais que se passe-t-il lorsque votre dossier médical est dévoilé à votre insu ?

L’effroyable réalité des vols de données

Très récemment un nouvel établissement hospitalier a été victime d’une cyberattaque. Nos données de santé sont des cibles permanentes pour les pirates informatiques. Rien qu’à l’été 2021, 1.4 million de patients ont vu leurs données dérobées suite à une attaque visant les Hôpitaux de Paris. A noter également qu’il y a eu une augmentation de 475% des attaques entre février et mars 2020, au moment même où les hôpitaux étaient le plus en difficulté suite à la pandémie. La plupart des vols de dossiers ont lieu suite à un piratage ou à un incident informatique, compromettant les serveurs réseau ou les emails.

Les établissements de santé ont une grande surface d’attaque, augmentant par conséquent les vulnérabilités que les cybercriminels peuvent exploiter facilement. Et les dossiers médicaux complets sont de véritables trésors contenant des informations sensibles : nom complet, date et lieu de naissance, numéro de sécurité sociale, adresses physiques et numériques, informations de carte de crédit, etc. La question est : que font-ils de ces données ? Il est possible de le revendre, à savoir qu’un dossier médical complet peut valoir entre 50 et 100 dollars, ce qui rend les données de santé très précieuses. Mais ils peuvent également s’en servir pour mettre en place d’autres systèmes de fraudes et récolter toujours plus d’argent, comme la fraude à la carte vitale ou au faux virement.

En dépit de cela, les organisations de santé sont en retard dans leur préparation à la cybersécurité en comparaison aux autres industries. The Brookings Institution (en anglais) rapporte que la découverte d’une faille de sécurité prend environ 235 jours dans l’industrie de la santé et 93 jours de plus pour atténuer les dommages. En outre, le coût moyen d’une fuite de données est de 9,2 millions de dollars.

Comment assurer la sécurité des données de santé

Imaginez que vous alliez chez le médecin. Dès votre arrivée, la réceptionniste va vous demander votre carte vitale et vérifier avec vous vos informations, numéro de téléphone, adresse email, adresse postale, etc. Puis vous allez rentrer dans le bureau du médecin qui aura accès à votre dossier médical, vos antécédents, vos résultats d’examens, vos traitements passés ou actuels. Pour résumer, lors de cette visite, plusieurs personnes auront eu accès à des informations vous concernant.

La question à la base de la protection des données de santé est la suivante : comment sécuriser l’accès ?

La RGPD et la PGSSI-S offrent un cadre de sécurité

Pour les organisations de santé, sécuriser l’accès aux données de sante et éviter d’être victime d’attaque commence par être en conformité avec le RGPD (Règlement Général sur la Protection des Données) et la PGSSI-S (Politique Générale de Sécurité des Systèmes d’Information de Santé).

La CNIL, parmi toutes ses autres fonctions, va veiller à ce que votre médecin ou à ce que l’établissement de santé applique le RGPD, qui encadre le traitement des données personnelles au sein de l’Union européenne. Protégeant ainsi vos informations sensibles.

La PGSSI-S est un ensemble de référentiels, de documents et de supports qui offrent un cadre de référence pour la sécurisation des pratiques en matière de e-santé, tant pour les secteurs de santé privés que publiques, qui s’applique dès que des données de santé à caractère personnel sont manipulées.

Bien que le RGPD s’adresse à tous acteurs manipulant des données à caractère personnel, et pas spécifiquement à l’univers de la santé, combiné avec la PGSSI-S cela offre un cadre de référence suffisamment clair pour permettre aux acteurs de savoir comment répondre aux exigences.

Comment sécuriser l’accès aux données de santé en pratique

Nous avons vu que lors d’une simple visite de routine plusieurs personnes accèdent à nos dossiers médicaux, alors imaginez à l’hôpital, on peut facilement doubler voire tripler le nombre d’accès.

C’est pourquoi les différentes réglementations mettent fortement l’accent sur la protection des accès aux données de santé.

L’authentification multifacteur

La PGSSI-S recommande l’utilisation d’une authentification forte au moyen de la combinaison minimum de deux facteurs d’authentification différents. Ces facteurs peuvent être de connaissance, de propriété ou encore d’inhérence. En complément, l’ANSSI, en collaboration avec la CNIL, a rédigé un guide sur les recommandations relatives à l’authentification multifacteur et aux mots de passe, qui vise à présenter et préciser l’importance de l’authentification multifacteur dans la protection des accès aux systèmes.

Avec une solution adaptée, vous pouvez renforcer la sécurité des accès grâce à son authentification multifacteur (MFA) qui offre une couche de sécurité supplémentaire permettant de sécuriser et protéger l’accès aux données de santé.

Le contrôle d’accès des utilisateurs

Outre l’authentification des utilisateurs, il y a d’autres mesures à prendre en compte pour protéger les données sensibles. Notamment l’identification unique de l’utilisateur et la déconnexion automatique

L’identifiant utilisateur unique

L’identifiant est une suite de caractères (numéro aléatoire, numéro déduit à partir de trait d’identité, etc.) et qui permet de différencier deux personnes.

Comme l’indique la CNIL dans ses recommandations de sécurité, cela permet de sécuriser les données en éliminant les identifiants et mots de passe partagés, garantissant ainsi une identification correcte des utilisateurs. Elle empêche également les identifiants d’être compromis par des acteurs menaçants, que ce soit en interne ou en externe.

Les solutions de sécurité telles que UserLock peuvent autoriser ou refuser l’accès selon certains critères contextuels tels que l’emplacement, la station de travail, l’appareil utilisé ou l’horaire. Cela permet d’empêcher les utilisateurs non autorisés à accéder aux informations de données de santé sensibles.

La déconnexion automatique

Paramétrer la déconnexion automatique sur un système permet de terminer une session utilisateur après une durée déterminée. Conformément aux recommandations de la CNIL, ces précautions permettre de réduire les risques d’intrusions via les postes de travail laissés ouverts.

La déconnexion automatique est un moyen efficace de garantir la sécurité des données en coupant l’accès à un poste de travail ou à un appareil non surveillé. En outre, le refus des connexions simultanées est un autre moyen de vérifier un utilisateur et d’approuver l’accès.

Une solution semblable à UserLock fournit à la fois l’identification unique de l’utilisateur et la déconnexion automatique pour renforcer la sécurité des données.

Effectuer des audits de contrôle

Les contrôles d’audit permettent d’enregistrer et d’examiner les activités liées aux informations de santé électroniques protégées. Par exemple, UserLock enregistre, centralise et vérifie les connexions au réseau. Dans le cas malheureux d’une violation, ce type de contrôle est utile car les journaux peuvent être examinés après l’événement afin de soutenir l’expertise informatique.

De plus, les contrôles d’audit aident à gérer l’accès des utilisateurs en confirmant leur identité et en les rendant responsables de toute activité malveillante.

Soyez en conformité grâce à la gestion des accès aux données de santé

 Avec l’augmentation des violations de données médicales et le prix élevé que ces données volées entraînent, il est clair que le respect des normes devrait être une priorité pour chaque organisation de soins de santé. Les solutions de sécurité comme la MFA de UserLock fournissent l’expertise technique nécessaire pour mettre en œuvre les composants importants de ces normes afin de sécuriser les informations de santé protégées. Vous êtes prêts à réduire vos risques et à améliorer la sécurité de vos données ?