La sécurité des informations et la confidentialité des données sont des préoccupations cruciales pour les organismes de santé du monde entier à l'ère numérique d'aujourd'hui. En 2022 les cyberattaques mondiales dans le domaine des soins de santé ont augmenté de 74 %, et la santé était le deuxième secteur le plus attaqué aux États-Unis, soit une augmentation de 57 % sur un an. Et il n’est pas surprenant que les soins de santé retiennent autant l’attention des cybercriminels : il s’agit d’une mine d’or de données précieuses et d’informations de santé protégées (PHI), associées à des technologies héritées, à des systèmes de réseau mal gérés et à des problèmes de budget et de personnel. Tous ces éléments font des prestataires de soins de santé une cible facile avec des récompenses potentiellement élevées. 

Les défis critiques pour les prestataires de soins de santé sont doubles ; 

  1. Données des patients : Alors que le secteur s’appuie davantage sur la technologie pour fournir des services, des informations plus sensibles sur les patients sont stockées et échangées en ligne. Les prestataires de soins de santé doivent donner la priorité à la sécurité des informations et à la confidentialité des données pour protéger les informations personnelles des patients.
  2. Livraison opérationnelle : Les cyberattaques contre les établissements de santé peuvent perturber les services de santé critiques, tels que les soins aux patients, la recherche médicale et le fonctionnement des dispositifs médicaux. Les menaces de cybersécurité peuvent également compromettre la sécurité et l’exactitude des dossiers médicaux et des données cliniques, entraînant de graves erreurs de diagnostic, de traitement et de médication.

Ce billet de blog soulignera l’importance de sécurité de l'information et la confidentialité des données dans le secteur de la santé et les risques de les négliger. Nous explorerons les dernières menaces auxquelles sont confrontés les prestataires de soins de santé, telles que les attaques de ransomwares, les escroqueries par phishing et les menaces internes, et approfondirons les exigences de conformité réglementaire, telles que HIPAANIS2GDPR et Loi sur la protection de la vie privée. Enfin, nous discuterons des meilleures pratiques permettant aux organismes de santé de renforcer leur posture de sécurité de l'information et de confidentialité des données.

Rejoignez-nous pour naviguer dans le paysage complexe de la cybersécurité des soins de santé et découvrez comment les prestataires de soins de santé peuvent protéger les données de leurs patients et maintenir l'intégrité de leurs services critiques.

Les cybermenaces auxquelles est confronté le secteur de la santé 

Ransomware

Les attaques de ransomwares constituent l’une des menaces les plus importantes pour les prestataires de soins de santé. Selon un récent Rapport de santé Ponemon, 60 % des personnes interrogées ont cité les ransomwares comme leur plus grande préoccupation, et 40 % ont déclaré avoir subi plus de trois attaques de ransomwares au cours des deux dernières années.

Ces attaques impliquent que des pirates informatiques chiffrent les données d'un prestataire de soins de santé, les rendant inutilisables jusqu'au paiement d'une rançon. Si la rançon n'est pas payée, le pirate informatique peut menacer de supprimer les données, causant ainsi un préjudice important aux opérations du prestataire et aux soins aux patients ou, dans le cas de Medibank en Australie, publient ces données en ligne, causant non seulement de la détresse et des dommages aux patients concernés, mais également des dommages financiers et de réputation substantiels en raison de l'incapacité de l'organisation à assurer la sécurité des données des patients et à se conformer aux réglementations obligatoires.

Attaques DDoS

Les attaques DDoS consistent à surcharger le réseau d'un prestataire de soins de santé avec du trafic, ce qui provoque son blocage et le rend inutilisable. Cela peut avoir un impact sur la capacité du prestataire à accéder et à utiliser les données des patients, entraînant des retards dans les soins aux patients et potentiellement compromettant la sécurité des patients. Souvent, les attaques DDoS servent de diversion pendant que les acteurs malveillants déploient des logiciels malveillants plus sinistres sur le réseau de leurs victimes.

 tactiques de cyberattaque en cours de KillNet démontrent parfaitement l’impact qu’une attaque DDoS peut avoir. Ce groupe hacktiviste cible activement le secteur de la santé aux États-Unis, provoquant des interruptions de service de plusieurs heures, entraînant des retards de rendez-vous, l'impossibilité d'accéder aux dossiers de santé électroniques et des déroutements d'ambulances.

Fournisseurs tiers + attaques de la chaîne d’approvisionnement

Les prestataires de soins de santé sont aussi sécurisés que leurs prestataires tiers et leur chaîne d’approvisionnement. Toute personne accédant aux systèmes d'un établissement de santé peut, de manière malveillante ou accidentelle, compromettre les données protégées et la prestation de services, provoquant des interruptions de service à court ou à long terme, ayant un impact sur les soins aux patients, la prestation de services et les résultats financiers.

Selon le rapport Ponemon Healthcare, 71 % des établissements de santé estiment qu'ils sont susceptibles de compromettre leur chaîne d'approvisionnement. En moyenne, 50 % des établissements de santé ont subi plus de quatre attaques de la chaîne d'approvisionnement cela les a empêchés de fournir des services au cours des deux dernières années. 

L'Internet des Objets (IoT)

L’adoption croissante de l’Internet des objets (IoT) dans le domaine de la santé est une autre tendance technologique aux implications troublantes en matière de sécurité. À mesure que les systèmes des prestataires de soins de santé sont de plus en plus connectés à d'autres systèmes médicaux et opérationnels, on constate également une évolution significative vers des dispositifs médicaux connectés à Internet, tels que les pompes à insuline et les stimulateurs cardiaques.

La connectivité croissante de l'IoT pourrait compromettre la capacité des prestataires médicaux à fournir des services, la sécurité de leurs patients et le fonctionnement de leur entreprise. Ces appareils contribuent à la prolifération informatique, manquent de mesures de sécurité intégrées adéquates et augmentent les surfaces d'attaque des prestataires de soins de santé ainsi que la santé et le bien-être des patients utilisant des appareils médicaux connectés. Il est alarmant de constater que 63 % des établissements de santé affirment avoir connu une incident de sécurité en raison d'appareils IoT non gérés au cours des 12 derniers mois.

L’impact des mauvaises pratiques de sécurité de l’information et de confidentialité des données dans le secteur de la santé 

Ne pas prendre au sérieux la sécurité des informations et la confidentialité des données peut avoir de profondes répercussions sur les patients, les prestataires de soins de santé et les organismes de santé. 

Conséquences pour les prestataires de soins de santé

Si le système d'un prestataire est piraté, cela peut entraîner des perturbations dans les soins aux patients, des retards de traitement et une perte de revenus. Les fournisseurs peuvent également faire face à des conséquences juridiques et financières, notamment des amendes et des poursuites judiciaires, s'il s'avère qu'ils ne respectent pas les réglementations en matière de sécurité des données.

De plus, les prestataires de soins de santé peuvent subir des dommages à leur réputation et une perte de confiance des patients à la suite d’une faille de cybersécurité. Les patients qui estiment que leur vie privée a été compromise pourraient être moins susceptibles de recourir à des soins auprès de ce prestataire à l'avenir, ce qui pourrait avoir des conséquences financières à long terme pour ce prestataire.

Conséquences sur les soins aux patients 

Même si la cybersécurité peut coûter aux prestataires de soins de santé des milliards de dollars en perte de revenus, en paiements et en atteinte à leur réputation, la conséquence la plus immédiate et la plus évidente est l’impact potentiel sur les patients. Si une cyberattaque rend un établissement ou un organisme de soins de santé inutilisable, les patients qui ont besoin de soins en temps opportun risquent de ne pas les obtenir. 

Dans le même temps, des millions de personnes dans le monde ont déjà un accès limité aux soins de santé. Il est bien connu qu’il existe une pénurie importante de prestataires de soins de santé, ce qui signifie que les patients doivent souvent attendre des semaines, voire des mois, avant de pouvoir consulter un médecin. Par conséquent, lorsque de mauvaises pratiques en matière de sécurité des informations et de confidentialité des données entraînent des retards dans les soins aux patients, cela peut détériorer considérablement l’état de santé de millions de personnes et de communautés dans le monde.

Les données compromises des patients peuvent également entraîner d’autres conséquences néfastes, notamment le vol d’identité, la fraude financière et la fraude médicale. Les patients peuvent également courir le risque de voir leurs informations personnelles sur la santé (PHI) exposées, ce qui peut avoir toute une série de conséquences négatives, telles que la discrimination de la part des employeurs ou des assureurs, la stigmatisation sociale et l'embarras.

L'impact d'une mauvaise sécurité de l'information et confidentialité des données les pratiques peuvent avoir des répercussions importantes lorsqu’elles affectent concrètement la vie des patients. Ainsi, l’infrastructure de cybersécurité est sans aucun doute une priorité absolue pour les prestataires de soins de santé.

Quelles sont les principales réglementations en matière de cybersécurité dans le secteur des soins de santé

Le règlement général sur la protection des données (RGPD)

Le RGPD est un règlement de l'Union européenne (UE) entré en vigueur le 25 mai 2018. Il s'applique à toutes les organisations qui traitent les données à caractère personnel des résidents de l’UE.

Le RGPD impose des exigences spécifiques aux organisations traitant des données personnelles au sein du secteur de la santé. Les établissements de santé doivent traiter les données personnelles de manière légitime, notamment en obtenant le consentement valide des individus ou pour un traitement médical. Les individus disposent de droits renforcés en vertu du RGPD, notamment le droit d'accéder à leurs données, de rectifier les inexactitudes, de demander la suppression et de restreindre le traitement. 

Lorsque les activités de traitement sont susceptibles de présenter un risque important pour les droits et libertés des personnes, les établissements de santé doivent procéder à une analyse d'impact sur la protection des données (AIPD). Ils doivent également mettre en œuvre des mesures techniques et organisationnelles pour garantir la protection des données dès la conception et par défaut, telles que la pseudonymisation, le cryptage et l'authentification. De plus, les établissements de santé doivent signaler les violations de données personnelles aux individus et aux autorités dans les 72 heures suivant la prise de connaissance de l'incident. 

Le RGPD exige également que les organismes de santé nomment un délégué à la protection des données (DPD) pour garantir la conformité et servir de point de contact pour les individus et les autorités.

Loi sur la protection des données 2018 

Le Data Protection Act 2018 (DPA 2018) est une loi britannique qui définit la manière dont les données personnelles doivent être traitées, stockées et utilisées. Il décrit plusieurs exigences liées à la cybersécurité dans le secteur de la santé.

La loi impose aux établissements de santé de procéder à des évaluations des risques liés à leur traitement de données activités, y compris les pratiques de cybersécurité, pour identifier les vulnérabilités potentielles. Ensuite, mettez en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données personnelles, notamment le cryptage, les contrôles d'accès et les tests de sécurité réguliers.

La loi comprend également des règles strictes en matière de notification des violations, selon lesquelles les établissements de santé doivent signaler toute violation de données aux autorités compétentes dans les 72 heures suivant la prise de conscience de la violation.

Les établissements de santé doivent s’assurer que tous les sous-traitants tiers avec lesquels ils travaillent se conforment à la loi, y compris aux exigences en matière de cybersécurité.

NIS 2 

NIS 2 (la directive européenne sur la sécurité des réseaux et des systèmes d'information) définit plusieurs exigences liées à la cybersécurité dans le secteur de la santé. Ceux-ci inclus:

  1. Identification des services et opérateurs essentiels : les organismes de santé doivent identifier les services et opérateurs essentiels nécessaires au maintien des activités sociétales et économiques critiques.
  2. Gestion des risques et rapports d'incidents : les établissements de santé doivent procéder à des évaluations des risques et mettre en œuvre des mesures de gestion des risques pour garantir la sécurité et la résilience de leurs systèmes et réseaux. Ils doivent également signaler les incidents aux autorités nationales compétentes et prendre les mesures appropriées pour atténuer l'impact de l'incident.
  3. Mesures de sécurité : les établissements de santé doivent mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité et la résilience de leurs systèmes et réseaux. Ces mesures doivent inclure des mesures visant à empêcher tout accès non autorisé, à protéger contre les logiciels malveillants et autres cybermenaces et à garantir la disponibilité des services critiques.
  4. Coopération et partage d'informations : les établissements de santé doivent coopérer avec d'autres opérateurs et autorités publiques pour garantir la sécurité et la résilience de leurs systèmes et réseaux. Ils doivent également partager des informations sur les menaces et les incidents avec les organisations et autorités compétentes.
  5. Conformité et application : les établissements de santé doivent se conformer aux exigences de NIS 2 et à toute autre réglementation applicable en matière de cybersécurité. Les autorités nationales sont chargées de veiller au respect des règles et peuvent imposer des sanctions en cas de non-respect.

Health Insurance Portability and Accountability Act (HIPAA)

HIPAA est une loi qui protège les informations de santé contre tout accès et divulgation non autorisés aux États-Unis. Les entités couvertes, généralement des prestataires de soins de santé, doivent se conformer à des normes de sécurité strictes pour protéger ces informations.

Conformément à la loi HIPAA, les entités couvertes doivent mettre en œuvre des mesures de sécurité robustes lors du traitement des informations de santé protégées (PHI), telles que le cryptage, les procédures d'authentification et d'autres garanties, pour empêcher tout accès ou divulgation non autorisé.

De plus, les mandats HIPAA qui couvrent les entités informent les individus de leurs droits légaux. Cela inclut de fournir des informations sur qui peut accéder à leurs PHI, comment demander des copies et ce qui se passe s'ils changent d'avis concernant le partage des informations.

La loi australienne sur la vie privée de 1988 (Loi sur la vie privée)

Cette loi définit les exigences des prestataires de soins de santé pour protéger les informations personnelles de leurs patients contre les menaces de cybersécurité. Certaines des dispositions clés de la Loi sur la protection des renseignements personnels liées à la cybersécurité dans le secteur de la santé comprennent :

  1. Sécurité des données : les prestataires de soins de santé doivent prendre des mesures raisonnables pour protéger les informations personnelles qu'ils détiennent contre toute utilisation abusive, interférence, perte et accès, modification ou divulgation non autorisés. Ils doivent disposer de mesures de sécurité appropriées pour prévenir les menaces de cybersécurité telles que le piratage, les attaques de logiciels malveillants et les accès non autorisés.
  2. Notification de violation de données : en cas de violation de données, les prestataires de soins de santé doivent informer les personnes concernées et le Bureau du Commissaire australien à l'information (OAIC) ​​dès que possible. La notification doit inclure la nature de la violation, le type de renseignements personnels concernés et les mesures prises pour atténuer le risque de préjudice.
  3. Évaluation des facteurs relatifs à la vie privée : Avant de mettre en œuvre de nouvelles technologies ou de nouveaux processus impliquant le traitement de renseignements personnels, les prestataires de soins de santé doivent procéder à une évaluation des facteurs relatifs à la vie privée (PIA) pour identifier et évaluer les risques pour la vie privée des individus. Ce processus doit inclure un examen des risques de cybersécurité et des mesures en place pour les atténuer.
  4. Fournisseurs tiers : si les prestataires de soins de santé font appel à des prestataires tiers pour des services tels que le cloud computing ou le stockage de données, ils doivent s'assurer que ces prestataires se conforment aux exigences de la Loi sur la protection des renseignements personnels. Cela implique de s’assurer que le fournisseur tiers dispose de mesures de cybersécurité appropriées pour protéger les informations personnelles.

Les conséquences du non-respect des réglementations sur la cybersécurité des soins de santé 

Les implications du non-respect des réglementations en matière d'informations sur les soins de santé et de confidentialité des données peuvent être graves, notamment des conséquences juridiques, financières et de réputation.

Au Royaume-Uni, le non-respect des réglementations en matière de protection des données peut entraîner des amendes allant jusqu'à 4 % du chiffre d'affaires mondial d'une organisation ou 17.5 millions de livres sterling (le montant le plus élevé étant retenu), ainsi que des poursuites judiciaires potentielles et une atteinte à la réputation.

Aux États-Unis, les violations de la loi HIPAA peuvent entraîner des sanctions financières importantes, allant de 100 à 50,000 1.5 dollars par violation (jusqu'à un maximum de XNUMX million de dollars par an pour chaque catégorie de violation). En plus des amendes, les établissements de santé peuvent être confrontés à une publicité négative, à une perte d'activité et à des poursuites judiciaires de la part des personnes concernées.

En Australie, le non-respect des réglementations en matière de confidentialité peut entraîner des sanctions allant jusqu'à 2.1 millions de dollars pour les organisations et 420,000 XNUMX dollars pour les particuliers, ainsi que d'éventuelles poursuites judiciaires et atteintes à la réputation.

Outre ces conséquences spécifiques, le non-respect des réglementations sur la confidentialité des informations et des données dans le secteur des soins de santé peut avoir des implications plus larges sur la sécurité et la confiance des patients. Dans ce cas, cela peut entraîner de graves préjudices pour les patients, éroder la confiance dans les prestataires et les institutions de soins de santé et nuire à la réputation du secteur de la santé dans son ensemble.

Une approche basée sur des normes pour la cybersécurité des soins de santé

Pour les organisations cherchant à se conformer aux multiples réglementations en matière de cybersécurité, de sécurité des données et des informations dans le domaine de la santé, certification contre ISO 27001, pour la sécurité de l'information et ISO 27701, car la confidentialité des données pourrait être une première étape décisive.

De nombreuses réglementations en matière de soins de santé elles-mêmes mentionnent que toutes les mesures prises par les entreprises pour s'y conformer doivent tenir compte du « respect des normes internationales ». Par exemple, les directives techniques publiées par l'Agence de l'Union européenne pour la cybersécurité (ENISA) pour NIS 2 associent chaque objectif de sécurité à plusieurs normes de bonnes pratiques, dont ISO 27001. 

Un système de gestion de l'information (ISMS) conforme à la norme ISO 27001 permet aux organisations de réduire leurs risques et leur exposition aux menaces de sécurité en identifiant les politiques pertinentes qu'elles doivent documenter, les technologies pour se protéger et la formation du personnel pour éviter les erreurs. Ils exigent également que les organisations effectuent des évaluations annuelles des risques, ce qui les aide à garder une longueur d'avance sur un paysage des risques en constante évolution.

Lors de la mise en œuvre d'un cadre de sécurité de l'information, les organisations bénéficient d'une structure claire et cohérente pour organiser et stocker les données, ce qui permet aux entreprises de prendre plus facilement des décisions éclairées. Cela peut conduire à une meilleure planification stratégique, une meilleure gestion des incidents et une meilleure conformité aux réglementations. De plus, des politiques de confidentialité claires fournissent une approche structurée pour gérer tout incident de confidentialité, ce qui peut également réduire les temps d'arrêt.

Une fois établi, l’ajout d’exigences réglementaires HIPAA, GDPR et régionales supplémentaires est beaucoup plus simple. La norme ISO 27001 peut également être certifiée de manière indépendante, fournissant ainsi la preuve aux fournisseurs, aux parties prenantes et aux régulateurs que vous avez pris les mesures techniques et organisationnelles « appropriées et proportionnées ».

En résumé, une approche normative ISO 27001 peut profiter aux entreprises de soins de santé qui cherchent à se conformer à plusieurs réglementations en matière de soins de santé, car elle contribue à répondre aux exigences réglementaires, protège les données sensibles des patients, renforce la confiance avec les patients et les parties prenantes, améliore la posture de sécurité globale et fournit un cadre d'amélioration continue. .

Assurer une sécurité efficace des informations et la confidentialité des données n’a jamais été aussi critique

Les organismes et prestataires de soins de santé doivent donner la priorité aux mesures de cybersécurité pour protéger leurs données et leurs systèmes. Cela comprend la mise en œuvre de mesures de protection techniques, telles que des pare-feu et le cryptage, ainsi que l'établissement de politiques et de procédures en matière de confidentialité et de sécurité des données. Les programmes de formation et de sensibilisation des employés peuvent également être essentiels pour prévenir les failles de sécurité, car les employés constituent souvent la première ligne de défense contre les cyberattaques.

Donner la priorité à la cybersécurité dans les soins de santé n’est pas seulement une question de conformité ou de gestion des risques : c’est une responsabilité essentielle de protéger les données des patients et d’assurer leur sécurité. Les organismes et prestataires de soins de santé doivent prendre des mesures pour mettre en œuvre des mesures de cybersécurité robustes afin de protéger leurs données et leurs systèmes et de maintenir la confiance des patients et des parties prenantes.

Renforcez la conformité de vos soins de santé dès aujourd'hui

Si vous souhaitez commencer votre voyage vers une meilleure sécurité des informations et une meilleure confidentialité des données, nous pouvons vous aider.

Notre solution ISMS permet une approche simple, sécurisée et durable de la confidentialité des données et de la gestion des informations avec la norme ISO 27001 et renforce d'autres cadres tels que HIPAA, GDPR et plus encore. Libérez votre conformité en matière de soins de santé dès aujourd’hui.

Parlez à un expert