Gérer les données dans le secteur de la santé un an après WannaCry

En mai 2017, le ransomware WannaCry a eu des conséquences catastrophiques dans le monde entier, faisant la une des journaux et affectant plus de 300 000 ordinateurs dans 150 pays. Elle a contribué à révéler l’insuffisance de la protection et de la gestion des données

Dans les secteurs public et privé de nombreux pays, l'attaque WannaCry a révélé de graves lacunes dans la gestion et la protection des données. Le secteur de la santé, qui représentait déjà en 2016 la cinquième industrie la plus ciblée, n’a pas été épargné par les cyberattaques. WannaCry a ainsi sonné comme un avertissement pour toutes les équipes informatiques du secteur de la santé dans le monde, donnant un aperçu très précis des conséquences dévastatrices que peut avoir une cyberattaque sophistiquée et prolongée.

Pour le secteur de la santé, la cybersécurité est primordiale

Alors que certains secteurs déploient des moyens de plus en plus sophistiqués pour détecter et empêcher les cyberattaques, les pirates, à la recherche de nouvelles sources de données, ont pris conscience de la richesse du secteur de la santé en la matière. D’énormes quantités d’informations sensibles sur la population sont en effet détenues par les établissements de santé ; leurs systèmes informatiques contiennent également des données provenant de services financiers.

Les établissements de santé se sont montrés globalement assez lents à adopter les pratiques préventives de sécurité qui ont fait leurs preuves pour d’autres secteurs. Et malgré l’importance accordée habituellement à la protection des données privées des patients, le personnel médical n’a pas une conscience aigüe des risques qui pèsent sur la sécurité des données. Les budgets alloués à la sécurité et les équipes dédiées à cette problématique dans les établissements de santé ont aussi tendance à être moins importants que dans les autres secteurs.

Selon une récente étude, le secteur français de la santé a progressé dans les politiques de cybersécurité, avec le développement des postes de RSSI (Responsable de la Sécurité des Systèmes d’Information) et l’augmentation des moyens budgétaires, internes et techniques consacrés à l'identification et au traitement des fuites de données.

À mesure que les entreprises déploient les nouvelles technologies pour gagner en flexibilité, et renforcer leur rentabilité et leur croissance, il est important que les DSI construisent des infrastructures informatiques sécurisées capables de faire face aux attaques, et mettent en place des processus de sauvegarde garantissant que les données restent disponibles pour tous ceux qui en ont besoin.

La prévention est une étape indispensable

« Mieux vaut prévenir que guérir », cela s’applique aussi bien à la santé des individus qu’à la sécurité informatique ; les mesures préventives en matière de cybersécurité restent très efficaces. Faire des sauvegardes hors site et hors ligne permet à la fois d’atténuer les conséquences néfastes des ransomwares, mais aussi de contribuer à prévenir le problème, si elles sont accompagnées de la bonne solution logicielle de sécurité et d’une formation de sensibilisation des employés. Néanmoins, il existe un écart vertigineux en matière de sécurité et de sauvegarde des données entre la pratique et la réalité. Trop peu d’entreprises testent régulièrement leurs sauvegardes. Or, plus les tests sont espacés dans le temps, plus leur efficacité en cas d’attaque diminue.

Les sauvegardes externes de données peuvent se faire de plusieurs manières différentes, à l’aide de disques systèmes, de disques durs amovibles, d’appareils à bande hors ligne ou encore de sauvegardes cloud. Quelle que soit l’option retenue par une entreprise, il est crucial que le répertoire de sauvegarde soit lui-même protégé contre les attaques.

Anticiper et contrer les conséquences des ransomwares

Les entreprises doivent mettre en œuvre certaines mesures simples pour éviter les attaques de ransomware : le maintien de leurs logiciels à jour, l’analyse des menaces avec l’équipe chargée de la sécurité (y compris en effectuant des tests d’intrusion afin de détecter les vulnérabilités).

A mesure que les menaces deviennent plus fréquentes et sophistiquées, les entreprises doivent pouvoir de prémunir contre les ransomwares en adoptant les bonnes pratiques en matière de gestion intelligente des données. Si elles sont victimes d’une attaque, elles n’ont plus que deux choix : payer la rançon, sans garantie de récupérer les fichiers cryptés, ni d’éviter une nouvelle infection, ou restaurer les données, de la manière la plus rapide et la plus fiable possible.

En matière de protection des données, l’une des règles les plus fiables pour limiter efficacement l’impact d’une attaque de type ransomware est celle de la sauvegarde « 3-2-1 » : disposer d’au moins 3 copies des données – les données principales et deux sauvegardes – afin d’éviter d’en perdre à cause d’une sauvegarde défectueuse, stocker ces copies sur 2 types de supports différents – bande, disque, stockage secondaire ou cloud –, et conserver une copie de sauvegarde hors site (sur bande ou dans le cloud) en cas de menaces locales ou d’infections au sein du réseau.

La règle « 3-2-1 » permet aux entreprises de disposer à tout moment d’une sauvegarde de leurs données et systèmes, précaution essentielle dans un monde menacé par les ransomwares.

Encourager la sensibilisation

Encore aujourd’hui, l’erreur humaine est la principale cause des failles de sécurité les plus importantes. C’est pourquoi les entreprises doivent mettre l’accent sur la formation de l’ensemble de leurs salariés. Une décision particulièrement adaptée au secteur de la santé, où le personnel doit constamment prendre des décisions relatives à la vie humaine et n’est pas spécialiste des bonnes pratiques de cybersécurité.

Les conséquences encore vivaces des récentes attaques de cybersécurité qui ont fait parler d’elles sont une raison supplémentaire pour les entreprises de s’assurer que leur personnel connaît les pratiques et processus préventifs les plus efficaces. Protéger les informations de santé des patients requerra un effort de coordination de la part des organismes de santé à échelle mondiale, ainsi que d’importants investissements dans de nouveaux outils et procédures de mise en œuvre. Mais dans un premier temps, certains ajustements simples peuvent déjà faire une grande différence dans un laps de temps relativement court.

D’autre part, pour parvenir à une gestion intelligente des données dans le secteur de la santé, les DSI doivent s’attaquer aux risques de cybersécurité dans l’ensemble de l’entité et non pas seulement dans un domaine restreint, tel que l’accès aux dossiers des patients, et être prêts à partager ces connaissances avec leurs collègues.

Les hôpitaux doivent désormais appréhender le risque d’attaque informatique avec la même importance que les pathologies médicales. C’est véritablement la gestion intelligente des données qui leur permettra de contrer toute menace sur les données de la part des logiciels malveillants, avant même qu’ils puissent affecter la vie d'un patient.