La sécurité des applications, un enjeu de taille dans le secteur de la santé

Pourquoi les structures de santé ne sont-elles pas plus nombreuses aujourd'hui à procéder à des tests de sécurité réguliers pour prévenir les infractions et renforcer la sécurité des informations sur les patients ?

"Faîtes ce que je dis, pas ce que je fais". Le secteur de la santé prône des contrôles de routines récurrents pour leurs patients, afin de prévenir plutôt que guérir. Pourtant, la santé n'applique pas à elle-même ses propres recommandations en matière de cyber sécurité, si bien que le secteur tout entier est l'un des plus fortement touchés par les vulnérabilités informatiques.

Aujourd’hui, la plupart des patients se rendent régulièrement chez leur médecin afin de soigner immédiatement ou préventivement des problèmes mineurs avant qu'ils ne deviennent des problèmes médicaux complexes.

Pourquoi les structures du secteur de la santé ne sont-elles pas plus nombreuses aujourd’hui à agir ainsi, en procédant à des tests de sécurité réguliers pour prévenir les infractions et renforcer la sécurité des informations sur les patients ?

En matière de cybersécurité dans le domaine de la santé, less isn’t more !

Trop souvent, les mesures correctives ne sont prises qu'après coup, les développeurs s'efforçant de combler les lacunes de leurs systèmes après une intrusion. Pourtant, des actions préventives en matière de sécurité pourraient être autant efficaces que lorsqu’il s’agit de notre santé.

En effet, plusieurs experts et leaders d'opinion de l'industrie considèrent les failles de sécurité comme des occasions de mieux comprendre ce qui a mal tourné et comment le prévenir à l'avenir.

Malheureusement, certaines procédures de sécurité renforcées peuvent provoquer de la panique de la part des utilisateurs. Par ailleurs, de trop nombreuses procédures de mise à jour des systèmes informatiques ou des procédures d’authentification à deux facteurs par exemple peuvent ralentir le travail des professionnels de santé, et parfois retarder l’accès aux soins pour les patients.

Pourtant, les données de la dernière décennie montrent à quel point les infractions peuvent être préjudiciables aux institutions et aux patients. Deux ans après la mise en place du dispositif d’accompagnement cybersécurité des structures de santé (ACSS) fin 2017, 693 incidents avaient été déclarés par les structures sanitaires. Ces chiffres sont alarmants.

La sécurité des applications, un enjeu de taille pour le secteur de la santé

Dans le 10e rapport annuel sur l'état de la sécurité des logiciels (SOSS) qui examine les tendances dans divers secteurs dont celui de la santé, on pouvait remarquer que les établissements de santé ont la plus forte prédominance de failles graves, soit 52%. Par ailleurs, ils sont les plus lents à corriger ces failles, avec une durée de remédiation moyenne de 131 jours, contribuant à la dette de sécurité – les failles de sécurité identifiées mais non résolues.

Pourtant, on sait que la dette de sécurité peut être résolue en mettant en place les bons processus, notamment une cadence régulière de scans. En effet, le rapport SOSS a montré que les entreprises qui effectuent jusqu'à 12 scans par an ont un délai moyen de correction de 68 jours, contre 19 jours seulement pour ceux qui effectuent plus de 260 scanners par an (soit une réduction substantielle de 72% du temps de remédiation). Le rapport établit également que les scans fréquents entraînent 5 fois moins de dettes de sécurité que les scanners sporadiques qui ne disposent pas d'un processus de test fiable.

Prendre des mesures de sécurité préventives permet à la fois de renforcer son système contre les attaques, mais met également en lumière les aspects du processus de remédiation qui doivent être revus. Ce sont ces mêmes mesures qui protégeront les organismes de santé en cas de brèche ou de cyberattaque, et permettront au secteur de traiter les problèmes au plus tôt de sorte à ce que l’impact soit minime, voire nul, sur les soins aux patients.