Pourquoi les prestataires de santé devraient-ils concilier leurs efforts d'innovation et leurs objectifs de cybersécurité
En 2023, et pour la 13e année consécutive, le secteur de la santé a enregistré les coûts de violation de données les plus élevés de toutes les industries, le coût moyen atteignant 10,93 millions de dollars US — soit un bond de plus de 53 % depuis 2020. Ce problème est aggravé par les répercussions de la COVID-19 que les prestataires subissent encore.
De nombreux prestataires de santé sont mis à rude épreuve en raison du manque de personnel et de ressources financières ainsi que d'un taux de rotation élevé. Les investissements, le cas échéant, sont principalement orientés vers des innovations cliniques comme la télésanté et l'Internet des objets médicaux (IoMT) en plein essor, qui engendrent moins de dépenses organisationnelles et offrent des fonctions plus traditionnelles comme l'évolution des approches de cybersécurité, essentielles à la résilience organisationnelle.
Dans cet article de blog, nous verrons pourquoi concilier innovation et cybersécurité est nécessaire afin de prévenir les coûts élevés des violations de données.
Le nombre de cyberattaques contre les prestataires et les hôpitaux continue de grimper. La connectivité et l’interopérabilité alimentées par les applications web et l’utilisation obligatoire des API exposent les prestataires de soins et les patients à des risques. Les vulnérabilités non corrigées et la dette technique issues des technologies obsolètes constituent un défi coûteux que les groupes de ransomware exploitent à leur avantage.
Et la menace permanente d’attaques par déni de service distribué (DDoS) contre les hôpitaux, attribuée par le Health Sector Cybersecurity Coordination Center (HC3) à des groupes de hacktivistes et au climat géopolitique, perturbe la prise en charge des patients. Tous ces éléments conduisent à des violations de données des informations de santé protégées (PHI), à des répercussions négatives sur le service client et, dans certains cas, à des problèmes de sécurité des patients.
Une menace constante d'attaques pèse sur les prestataires
Une étude d'Akamai a révélé qu'au cours de la période de 12 mois allant de mars 2023 à février 2024, les attaques d'applications Web et d'API contre les prestataires se sont poursuivies à un rythme régulier (figure 1). Cette tendance devrait continuer de s'accentuer, avec des fluctuations, car les cybercriminels tirent parti des vulnérabilités nouvelles et éprouvées inhérentes à l'évolution des modèles de soins, des méthodes de diffusion et de l'innovation pour attaquer et exploiter les applications Web et les API.
La coordination des soins favorisée par le partage de données et l’interopérabilité grâce à l’utilisation d’applications web et d’API permet d’obtenir de meilleurs résultats cliniques et financiers. Cependant, le secteur de la santé est exposé à des risques importants, car les implications des API en matière de sécurité ne sont pas encore pleinement comprises. Heureusement, le 21st Century Cures Act de 2016 et sa nouvelle Information Blocking Rule imposent des exigences de transparence aux prestataires de soins (et au reste de l’écosystème) pour l’utilisation des API.
Concilier une coordination optimale des soins avec le risque lié aux vulnérabilités
En raison du grand nombre de dossiers de patients et de points de connectivité du système, les prestataires de santé doivent optimiser la coordination des soins tout en mettant en œuvre des contrôles pour fournir une meilleure visibilité afin d'atténuer de manière proactive les risques liés aux vulnérabilités. Cet équilibre est souvent difficile à trouver lors du déploiement de nouvelles technologies et d’infrastructures telles que les API.
Les chercheurs d’Akamai ont également examiné les attaques DDoS de la couche applicative (couche 7) contre les prestataires de soins au cours de la même période de 12 mois, et ont constaté un rythme régulier de perturbations (Figure 2). Nous pouvons attribuer cela, en partie, à une ampagne mondiale de DDoS menée par le groupe de hacktivistes prorusses Killnet contre le secteur de la santé, avec un accent particulier sur les prestataires de soins aux États-Unis. Tout au long de ces 12 mois, les cybercriminels ont continué à exploiter les attaques DDoS qui présentaient des risques pour la prise en charge des patients.
Les attaques DDoS établissent de nouveaux records en termes d'ampleur et de rapidité
Contrairement aux attaques DDoS traditionnelles sur l’infrastructure des couches 3 et 4, qui visent à submerger l’infrastructure des couches réseau et transport, les attaques DDoS de la couche applicative ciblent des fonctionnalités spécifiques de l’application ou le serveur d'application lui-même. Elles pourraient causer des dommages importants, même avec une quantité relativement faible de trafic malveillant.
Toujours plus d'interactions dans le domaine des soins de santé se produisent via des applications ; il est devient donc essentiel pour l'expérience du patient d'obtenir des informations et des soins en temps opportun. Les attaques DDoS sur la couche 7, la couche 3/4 et le DNS établissent toutes de nouveaux records en termes d'ampleur et de rapidité. Il est par conséquent primordial de vous assurer que vous avez mis en place des protections et processus.
Les attaques sur plusieurs fronts maintiennent les prestataires en alerte
Les attaques au rançongiciel qui limitent l’accès aux dossiers médicaux et obligent les ambulances à se dérouter mettent en évidence le fait que, sans accès aux antécédents médicaux, il est impossible d'assurer la coordination entre les prestataires de soins. Le retour aux dossiers papier perturbe le suivi de la prise en charge des patients, la communication entre les principaux services et tous les services de commande.
Lorsque des données sensibles sont touchées, les prestataires de soins doivent également faire face aux répercussions d’une violation de données. L’exploitation de vulnérabilités au sein d’outils logiciels populaires permet à des acteurs de la menace non autorisés d’accéder à une véritable mine d'or d'informations, allant des données de santé protégées (PHI) aux renseignements d’assurance maladie et médicaux.
De plus, une augmentation de l’activité DDoS, attribuée à des développements géopolitiques et à des groupes de hacktivistes, a provoqué des interruptions de service qui peuvent compromettre le pronostic des patients. L’ensemble de l’écosystème de la santé a été touché — les prestataires de soins ont été les cibles les plus fréquentes lors de l’attaque DDoS à grande échelle menée par Killnet en 2023. Le Health Sector Cybersecurity coordination Center (HC3) (Centre de coordination de la cybersécurité pour le secteur de la santé aux États-Unis) a indiqué que des interruptions de service de quelques heures seulement peuvent affecter l'ensemble des opérations quotidiennes, qu'elles soient de routine ou critiques, entraînant des conséquences potentiellement importantes.
La protection des patients doit inclure celle des données
La protection et le contrôle de l'accès aux données des patients font partie des soins prodigués aux patients. Traditionnellement, les budgets et équipes de cybersécurité alloués au secteur de la santé étaient minimes, ce qui a contribué aux défis liés à la protection des données. Mais alors que les cyberattaques contre les groupes de prestataires de soins continuent de faire la une des journaux, ces derniers continuent d'améliorer les partenariats de protection externalisés et d'augmenter la couverture d'assurance cyber.
Cet élan se développera à mesure que les prestataires de santé profiteront des mises à jour des politiques du gouvernement des États-Unis, conçues pour améliorer la résilience dans les différents secteurs (comme les soins de santé) considérés comme des infrastructures essentielles.
Superposition des défenses à titre préventif
Les acteurs malveillants ont démontré toute leur motivation et leur savoir-faire, et ils ne ménageront pas leurs efforts pour mener des attaques contre des hôpitaux et d'autres infrastructures de santé. En priorisant la cybersécurité et en superposant les défenses, les prestataires de santé peuvent protéger de manière proactive les patients et leurs informations médicales protégées contre les cyberattaques et atténuer les risques pour l'organisation sur plusieurs fronts.
Êtes-vous sur la bonne voie ? Cette liste de contrôle peut vous aider à cibler vos investissements en conséquence et à prévenir les coûts élevés ainsi que les dommages causés par des cyberincidents majeurs.
Déployer des contrôles de sécurité pour vos applications Web et vos API afin de garantir une visibilité et une atténuation rapide des cyberattaques
Protégez votre personnel grâce au Zero Trust Network Access — y compris l’authentification multifacteur (MFA) pour éviter les piratages de comptes, la microsegmentation pour minimiser l’impact, et une passerelle web sécurisée pour empêcher l’exfiltration de données
Protéger l'accès à votre infrastructure avec un outil d'atténuation des attaques DDoS pour préserver à la fois les sites Web et l'infrastructure informatique, y compris votre DNS
S'associer à des prestataires fournissant à la fois la formation et l'expertise nécessaires pour configurer et gérer correctement les solutions de cybersécurité
En savoir plus
En savoir plus sur la manière dont Akamai s’associe aux prestataires de soins pour comprendre et s’attaquer aux menaces émergentes et évolutives.
*Mark Hagland. Errol Weiss de Health-ISAC sur ce cyber-moment périlleux dans le secteur de la santé. Innovation dans le domaine de la santé. 23 janvier 2024.