Service de santé : comment rendre l'authentification multifacteur simple et sûre ?

L'authentification à deux facteurs (2FA) n'est pas très compliquée à mettre en œuvre pour les entreprises. Or, cette mesure toute simple peut considérablement améliorer la sécurité d'un établissement de santé et, plus globalement, décourager les cyberattaques.

Grand utilisateur de vastes bases peuplées de données médicales sensibles, le secteur de la santé a tout intérêt à adopter l'identification à deux ou plusieurs facteurs afin de protéger ses clients, ses patients, ses fournisseurs et ses employés.

Selon une récente étude de Microsoft, l'authentification à deux facteurs permettrait de bloquer les cyberattaques automatisées dans 99,9 % des cas — ces types d'attaques étant les plus répandues. Malheureusement, l'authentification MFA n’est réellement utilisée que par 11 % des organisations.

Or, comme le veut l'adage, mieux vaut prévenir que guérir.

Dans cet article, nous évoquerons les raisons pour lesquelles l'authentification à deux facteurs connaît un tel succès dans la protection des entreprises et institutions contre les cybercriminels. Nous aborderons également comment déployer un système d'authentification à deux facteurs en toute sécurité dans un établissement de soins de santé.

Data : un enjeu pour le secteur de la santé

La santé connaît une envolée du nombre d'incidents de cybercriminalité. Selon Health IT Security, le secteur concentre à lui seul 79 % des violations de données signalées qui résultent d’actes de piratage. De manière générale, les attaques contre les prestataires et les établissements de soins et de santé sont en hausse de 45%.

Cette augmentation est en partie due à la pandémie de coronavirus. Les cybercriminels et les opportunistes savent reconnaître une bonne occasion lorsqu'ils en voient une. Ils s’empressent alors d’inonder un maximum de comptes de messagerie avec des courriels d'hameçonnage ou de faux e-mails contenant des liens infectés. Par ces tactiques, ils cherchent à exploiter les peurs des utilisateurs.

"On parle de falsification de requête inter-site – ou cross-site request forgery (CSRF) – lorsque la victime effectue une requête qui s'appuie, à son insu, sur une autorisation délibérée ou sur ses clés d’authentification", explique l'expert en cybersécurité Mark Preston, de Cloud Defense. "L'attaquant peut alors se faire passer pour l'utilisateur et accéder à des informations sensibles."

Il peut sembler difficile à croire qu’autant de comptes utilisateurs soient compromis sur des sites ou des applications de santé. La peur peut en effet conduire certains patients à communiquer leurs identifiants de connexion à des tiers qui leur en font la demande. Le risque que cela se produise est accru si la demande semble provenir d’une source fiable, comme un prestataire de soins de santé.

Pour ajouter à la gravité de la menace, les récentes mesures prises par le ministère de la Santé et des Services sociaux (aux États-Unis) poussent dans le sens d’une consolidation des données. Les autorités entendent ainsi améliorer les organismes de santé et leur capacité à travailler en concertation, à partager des données et à tracer des contacts. Toute société moderne considère la création d'une base de données plus complète et plus facile à utiliser comme un idéal à atteindre. Or, cela étend également le terrain de jeu des pirates informatiques.

L'authentification à deux facteurs complique considérablement la tâche de ceux qui s’attaquent aux organismes de santé. Pour accéder à un compte utilisateur, le hacker doit à la fois récupérer le mot de passe correspondant, ainsi qu’un code ou un symbole spécial envoyé sur le téléphone de l'utilisateur. Pour le secteur de la santé, qui traite des données confidentielles et a connu une augmentation spectaculaire des incidents de piratage, ce renforcement de la sécurité peut s'avérer crucial.

Avantages de l'authentification à deux facteurs

Comme l’indique son nom, la vérification à deux facteurs présente un atout assez "évident" puisque l'accès à un compte dépend de deux variables. Si l’on compare le compte utilisateur à une maison, cela revient à avoir besoin de deux clés pour pouvoir entrer. La sécurité est donc deux fois plus forte.

L'authentification à deux facteurs est conçue dans le but exprès de réduire le risque de compromission des données d'identification. Sur un plan théorique, le processus est en fait assez simple. Et d’ailleurs, la plupart des gens utilisent déjà ce type de mesure de sécurité d'une manière ou d'une autre.

Par exemple, lorsque l'on retire de l'argent avec une carte bancaire sur un distributeur équipé du "sans contact", l'utilisateur saisit dans un second temps un code PIN pour vérifier son identité. Autre pratique courante : l'utilisateur qui se connecte à un site web avec son mot de passe, mais doit, pour accéder à son compte, saisir un code de vérification à plusieurs chiffres envoyé sur son appareil mobile.

En général, les données d'identification utilisées pour l'authentification à deux facteurs sont :

·       Un élément que l'on connaît (mot de passe, réponses à des questions de sécurité ou code PIN)

·       Un élément que l'on a en sa possession (carte à puce ou jeton)

·       Un élément qui fait partie de soi (données biométriques — empreintes digitales ou scans faciaux)

Déployer facilement l'authentification à deux facteurs

L'authentification à deux facteurs est un moyen d'améliorer la sécurité et les processus. Elle reste toutefois perçue comme une procédure pénible ou chronophage, alors que ce n'est pas toujours le cas. Cette méthode de protection des utilisateurs ne doit jamais être source de frustrations. Elle ne doit pas non plus entraver le workflow ou nuire à l'excellence des soins aux patients.

Pour un établissement de soins de santé, l'utilisation d'un workflow d'authentification intégré est l'idéal. Une fois que les utilisateurs accèdent au système, ils n'ont pas à re-saisir leurs mots de passe et codes pour accomplir leurs différentes tâches. Naturellement, passé un certain délai, ils devront être automatiquement déconnectés et s’authentifier à nouveau.

Toutes les mesures de cybersécurité doivent être conformes aux normes les plus strictes qui règlementent les soins, telles que les exigences de la Drug Enforcement Administration (DEA) aux États-Unis ou sur l’ordonnance du 18 novembre 2020 en France sur les prescriptions électroniques de médicaments réglementés. Cela étant dit, il faudrait créer un système d'authentification à deux facteurs qui soit spécifiquement adapté aux processus et exigences du secteur de la santé.

Face à des cybermalfaiteurs toujours à l’affût, les professionnels de l'informatique doivent être capables de communiquer clairement sur les dangers, en s'appuyant sur des statistiques pertinentes. L’éducation et la sensibilisation du personnel à la cybersécurité constituent, après tout, les mesures préventives les plus efficaces contre le piratage. Une bonne compréhension des risques responsabilisera d’autant plus les employés et les patients qui s’impliqueront pour les réduire.

Il est essentiel que les patients, les médecins et les employés connaissent les chiffres la prévalence des cybercrimes et des violations de données. Pour adhérer aux mesures de cybersécurité renforcée, ils doivent comprendre leur rôle dans le risque d’augmentation de la cybercriminalité.

Une personne peu technophile pourra percevoir l'authentification à deux facteurs comme un frein inutile qui prive les patients d’une prise en charge efficace.

Toutes les mesures de sécurité prises par votre organisation doivent s'accompagner d'une sensibilisation et d'une éducation aux fondamentaux de la cybersécurité pour donner à vos employés et à vos patients les moyens de protéger leurs données.

Conclusion

L'instauration d'une culture de la cybersécurité est la mesure préventive la plus forte pour empêcher les violations de données et les cyberattaques. Pour sensibiliser à l'importance de ces mesures, il est recommandé de s’appuyer sur les nombreux et récents exemples d’attaques contre le secteur de la santé et évoquer les répercussions négatives sur les employés et les patients eux-mêmes.

Le déploiement des mesures de cybersécurité doit être vu comme une collaboration entre la direction informatique et le personnel. L’enjeu pour la santé est crucial si le secteur veut pouvoir bâtir un environnement plus sûr et plus sécurisé. La prise en charge des patients et des clients revêt différentes formes ; la sécurité de leurs données et de leurs équipements en fait [clairement] partie.