Support technique
Documentation
Connexion
Nous contacter
Maintenir une cyber-hygiène dans le secteur de la santé
Le 24 mars 2023 - L'équipe de relations publiques de TuxCare
Atteindre un niveau acceptable d'hygiène cybernétique est un défi pour tous les prestataires de soins de santé, les hôpitaux et les sociétés pharmaceutiques. De nombreuses atteintes à la sécurité se produisent avec des systèmes existants et des processus redondants qui ne sont souvent pas corrigés ni gérés, ce qui crée des vulnérabilités exposées qui peuvent conduire à des exploits futurs.
Heureusement, grâce à une approche moderne des correctifs de vulnérabilité, les organisations du secteur de la santé peuvent mettre leurs correctifs en pilote automatique, minimiser les interruptions liées aux correctifs et assurer la protection des données sensibles de leurs patients.
Mais avant d'aborder ce sujet, examinons l'état actuel des risques de cybersécurité dans le secteur des soins de santé.
Les défis auxquels sont confrontées les entreprises du secteur de la santé pour parvenir à une cyber-hygiène adéquate
Les soins de santé, comme d'autres secteurs, continuent de transformer leurs modèles commerciaux et opérationnels afin d'améliorer l'expérience du client tout en réduisant les coûts. Ces transformations continuent d'évoluer et ont changé la façon dont les soins de santé fonctionnent pour les prestataires et les patients - en s'efforçant d'être plus efficaces, plus rentables et plus sûrs.
Si les stratégies de transformation contribuent à modifier les opérations et l'efficacité, elles introduisent également de nouveaux vecteurs de cyberattaque. De nombreux responsables de la sécurité dans le secteur de la santé sont confrontés à des difficultés liées à la sécurisation des applications basées sur l'informatique en nuage et aux attaques de ransomware provenant d'ordinateurs de patients distants connectés à des plateformes de télémédecine. De nombreuses nouvelles technologies ont dû être introduites pour remplacer les anciens systèmes. Dans de nombreux cas, le fait de maintenir opérationnels à la fois les anciens et les nouveaux systèmes a engendré une plus grande complexité opérationnelle et des risques pour la sécurité.
Pour réduire les risques organisationnels et améliorer la protection de la cybersécurité, les DSI et les RSSI doivent réduire la complexité et supprimer les applications, les services et les plates-formes qui font double emploi avec l'informatique de santé. En prenant des mesures pour résoudre le problème croissant de la cybersécurité, les organisations peuvent protéger leurs données sensibles tout en restant en conformité.
Cyberattaques contre les organismes de santé
Les récentes attaques de ransomware contre des prestataires de soins de santé à San Diego, en Irlande et en Nouvelle-Zélande ont démontré les effets néfastes de tels incidents. Malheureusement, de nombreux détails n'ont pas encore été révélés. Néanmoins, les systèmes obsolètes et les dispositifs médicaux non protégés sont des failles de sécurité courantes qui mettent en danger les établissements de santé, ainsi que leurs données sensibles.
Si des correctifs de sécurité et d'autres mesures de protection ne sont pas mis en œuvre dans les établissements de soins de santé, des failles de sécurité potentielles peuvent permettre à des individus malveillants de prendre le contrôle de masses de données sensibles ou même d'accéder à des équipements cliniques, ce qui pourrait mettre les patients en danger.
Les fabricants de dispositifs médicaux jouent un rôle essentiel dans la prévention des cyberattaques dans le domaine de l'informatique de santé. Ces dernières années, plusieurs entreprises de dispositifs médicaux ont été victimes de violations. D'autres pays ont fait état de décès liés à des incidents de cybersécuritéEn Allemagne, par exemple, un ransomware a entraîné le transfert d'un patient vers un autre établissement de santé, où il est malheureusement décédé pendant le transport. Il a été démontré par la suite que l'état de santé du patient était si mauvais que le même résultat se serait produit indépendamment de l'infection par le ransomware.. Néanmoins, le fait que cet incident ait même été considéré comme une cause potentielle vous amène à repenser à son importance pour la qualité et la capacité des établissements de santé à fournir des soins aux patients en temps voulu.
Environ 83 % des technologies d'imagerie doivent être mises à jour, environ 75 % des pompes à perfusion présentent des vulnérabilités non résolues, et jusqu'à 72 % des centres médicaux utilisent à la fois des équipements informatiques et médicaux sur le même réseau. De nombreux organismes de soins de santé doivent maîtriser leurs stratégies de sécurité.
Patching pour les applications médicales sur site et en nuage
Les établissements de santé peuvent réduire le risque d'accès non autorisé en mettant en œuvre un certain nombre de bonnes pratiques en matière de cybersécurité, notamment en appliquant des correctifs en temps réel aux systèmes critiques, même sur les anciens dispositifs médicaux.
Mais tous les établissements de santé ne sont pas équipés pour le faire aussi rapidement qu'ils en ont réellement besoin. Parmi les obstacles à l'application de correctifs dans l'informatique de santé moderne, on peut citer
- Contraintes budgétaires : Les budgets consacrés à la sécurité des soins de santé continuent de faire l'objet de réductions, même après la conférence COVID-19, ce qui peut contribuer au point suivant.
- Sous-effectif : De nombreux prestataires de soins de santé ont besoin de plus de personnel informatique. Sans ressources supplémentaires, leur équipe SecOps ou informatique devra en faire plus avec moins de ressources pour les activités de patching.
- Capacités de détection limitées : Les équipes informatiques du secteur de la santé ont souvent besoin de plus de fonds et d'expertise pour déployer la prévention de la perte de données, la sécurité du courrier électronique et la microsegmentation afin de détecter et de prévenir les cyberattaques.
- Fatigue des alertes : La fatigue des alertes due aux cyberattaques constantes continue d'affecter les prestataires de soins de santé. Nombre d'entre eux ont du mal à recruter et à conserver des ressources informatiques qualifiées et expérimentées pour faire face à la rapidité de ces attaques. L'épuisement professionnel et le stress mental augmentent dans les équipes de cybersécurité en raison de la gestion du volume de messages et d'attaques.
- Lacunes en matière de cybersécurité : Le secteur de la santé, comme d'autres secteurs, continue d'avoir besoin d'aide pour recruter et conserver des spécialistes de la cybersécurité expérimentés dans le déploiement des correctifs de sécurité.
- Défis liés à la sécurité de l'informatique dématérialisée : De nombreux prestataires de soins de santé ont transféré leurs anciennes plateformes vers des plateformes en nuage HIPAA/HITrust, ce qui peut entraîner de nouveaux besoins en matière de cybersécurité.
Exigences de la HIPAA en matière de correctifs et objectifs de contrôle du C.F.R. 45
Qu'en est-il de la conformité HIPAA ? Les prestataires de soins de santé ne doivent-ils pas maintenir leurs correctifs pour rester en conformité ? La vérité est que ce n'est pas vraiment le cas.
La conformité à l'HIPAA n'impose pas l'application de correctifs en tant qu'élément de conformité. Cependant, les systèmes de correctifs sont nécessaires pour se conformer à plusieurs codes de réglementation fédérale (C.F.R.), notamment 45 C.F.R. § 164.308 (a) (5) (ii) (B), protection contre les logiciels malveillants. L'HIPAA fait référence à plusieurs CFR dans ses obligations de conformité. L'application de correctifs est également liée à d'autres exigences de l'HIPAA, car il est nécessaire d'appliquer des correctifs appropriés pour sécuriser les systèmes et réduire le risque de fuite/corruption d'informations.
Patching pour les exigences de conformité HITrust
Fondée en 2007, HITrust est reconnue mondialement pour la gestion des systèmes de sécurité de l'information et des mesures de protection des données. Initialement développé pour le secteur de la santé, HITrust a publié CSF 9.2 en janvier 2019. Pour répondre aux normes de HITrust, les fournisseurs de cloud computing ont fortement investi dans la certification du cadre CSF en se conformant aux différentes catégories de contrôle, en mettant en œuvre le processus de conformité de HITrust et en répondant à toutes les exigences de certification requises.
Pourquoi la certification HITrust est-elle importante pour les prestataires de soins de santé ?
De nombreux prestataires de soins de santé exigent désormais que tous les fournisseurs ayant accès à des informations sur les soins de santé obtiennent la certification HITrust CSF dans un délai de deux ans afin de prouver l'existence de procédures adéquates en matière de sécurité et de protection de la vie privée.
Le CCA HITrust exige quatre contrôles liés à la gestion des risques en matière de sécurité de l'information :
- Développement du programme de gestion des risques
- Évaluer les risques
- Atténuation des risques
- Évaluation des risques
L'application de correctifs aux systèmes joue un rôle essentiel dans la certification HITrust en fournissant une solution pour atténuer les risques en réduisant les vulnérabilités de la surface d'attaque découvertes au cours de la phase d'évaluation des risques.
Pourquoi le Live Patching peut rationaliser la cybersécurité dans le secteur de la santé
Heureusement, il existe une solution abordable et automatisée qui permet aux prestataires de soins de santé de mettre leurs correctifs de vulnérabilité en pilote automatique et d'éviter complètement les pannes et les temps d'arrêt liés aux correctifs. Il s'agit du "live patching", qui fournit tous les derniers correctifs de vulnérabilité, en arrière-plan, pendant que les systèmes fonctionnent. Grâce aux correctifs en direct, les organismes de santé peuvent conserver leurs correctifs sans avoir à mettre leurs systèmes hors ligne ou à programmer des fenêtres de maintenance.
Les soins de santé, à l'instar d'autres secteurs, fournissent des services vitaux nécessitant une mise à jour et une disponibilité de leurs systèmes critiques de près de 100 %. La solution automatisée de TuxCare, KernelCare Enterprise, protège vos systèmes Linux. KernelCare Enterprise, protège vos systèmes Linux en éliminant rapidement les vulnérabilités sans que votre équipe informatique n'ait besoin de programmer un quelconque temps d'arrêt.
Avec KernelCare Enterprise, les équipes informatiques du secteur de la santé peuvent automatiser le passage des nouveaux correctifs en staging, en test et en production sur toutes les distributions Linux courantes. TuxCare offre également des correctifs en direct pour les bibliothèques partagées, les bases de données, les environnements de machines virtuelles et les appareils médicaux IoT, de sorte que l'ensemble de votre écosystème peut rester corrigé sans redémarrage ni interruption.
Programmez une conversation avec l'un de nos experts pour obtenir une explication personnalisée sur le fonctionnement de l'automatisation des correctifs en direct de TuxCare.
