Réseau et sécurité : les principaux défis à relever par les structures médicales et hospitalières

Comment les hôpitaux doivent se protéger face à la recrudescence des cyberattaques, notamment suite à l'intégration de l'IoT au sein de leur système d'information ? Le point.

1.  Sécuriser les appareils médicaux connectés

Avec 6 millions de dispositifs personnels de santé vendus en 2015[1], les appareils médicaux connectés représentent un véritable challenge de sécurité. La criticité de leur champ d’intervention nécessite la mise en place rapide d’actions proactives afin d’assurer à la fois la sécurité des patients et de leurs informations.

Pour ce faire, il est indispensable que les équipes IT puissent appliquer des politiques d’accès et de contrôle, de n’importe quel nœud du réseau à n’importe quel type d’équipement cherchant à se connecter, qu’il s’agisse aussi bien d’un appareil d’un patient comme d’un équipement médical. Ceci est réalisable grâce à des outils offrant une connaissance détaillée de l’activité sur le réseau. Chaque analyse du réseau leur permettra de dégager des données, nécessaires à l’adoption de nouveaux systèmes/appareils, à l’évaluation des tranches horaires les plus et les moins sollicitées, à la surveillance du fonctionnement de chaque application, qu’elle soit hébergée dans le Cloud ou non, etc. Autant d’informations capitales pour vérifier l’état et la performance de l’infrastructure, assurant aussi bien la sécurité des dispositifs et des individus.

2.  Protéger les données hébergées dans le Cloud

L’utilisation du Cloud permet notamment de réduire les coûts et d’augmenter l’agilité de l’infrastructure IT. Pour ces raisons, l’investissement dans ce domaine est en pleine augmentation. Néanmoins, cette technologie n’est pas dépourvue de risques. En cas de dysfonctionnement, cela aurait des répercussions directes sur les soins de certains patients, sur la collaboration entre le personnel médical ainsi que sur l’accessibilité des dossiers médicaux. Pour pallier à cette éventualité, les structures hospitalières doivent redoubler d’efforts pour se conformer aux normes de sécurité imposées.

Un hôpital connecté ne pourra assurer la sécurité de ses patients qu’en s’appuyant sur une infrastructure réseau solide offrant une vision de bout en bout des applications, une connectivité fiable et une connaissance et maîtrise des équipements raccordés. En utilisant les renseignements fournis par l’analyse de son réseau, c’est la livraison des services qui est améliorée ainsi que la livraison de soins innovants et sûrs, et c’est sans parler des capacités de prévention offertes.

3.  Anticiper le BYOD (Bring Your Own Device)

L’informatique mobile a impacté les processus, de plus en plus complexes, de protection des informations/données de santé privée. Pour garantir la qualité d’une approche BYOD, il est primordial de comprendre la nécessité de disposer d’une couverture ainsi qu’une connectivité de haut niveau. En effet, le réseau doit pouvoir supporter la connexion des appareils de tout le personnel et prioriser le trafic, tout en restant constamment disponible et résistant aux erreurs et autres surcharges.

Dans un environnement sensible, le réseau ne peut pas être complètement ouvert : il doit être sélectif quant aux connexions qu’il établit. S’il se doit de connecter rapidement les appareils autorisés, il faut en revanche qu’il puisse bloquer les connexions non-autorisées ou les rediriger vers un réseau « invité ». Les équipes IT doivent définir une politique d’accès pour déterminer quels appareils, utilisateurs et applications peuvent se connecter au réseau, en fonction de leur localisation et de la plage horaire. Cette politique se doit d’être appliquée aussi bien sur le réseau filaire et sans fil, ainsi que sur les pare-feu pour se protéger des accès extérieurs. L’intégration des ressources réseau avec les pare-feu assure une continuité de politique de sécurité. Le réseau doit être en mesure de contrôler et surveiller tous les appareils raccordés et leurs activités.

4.  Malware et ransomware

Un employé sur deux reconnaît que son entreprise a subi une attaque par ransomware au cours de l’année écoulée[3]. En parallèle, moins de 10 % des entreprises ont confiance en leur capacité de défense contre les cyber-attaques. Face à ce constat, il est évident qu’une incertitude demeure quant à la gestion de ces attaques. Au-delà de l’aspect technologique, il est primordial d’éduquer également l’utilisateur final aux risques de sécurité informatiques. Il a été récemment observé que les hôpitaux sont une cible de choix pour les attaques par ransomware. Il leur faut désormais mettre en place des approches nouvelles pour traiter efficacement ces menaces émergentes.

Avec cette connaissance des risques, les hôpitaux doivent réévaluer comment les appareils médicaux seront connectés sur leur réseau, ainsi que des données sensibles comme celles des patients. Les équipes IT ont besoin de se focaliser sur le fait d’avoir un réseau sécurisé, en utilisant de multiples méthodes. Il est obligatoire de disposer d’une solution offrant un contrôle centralisé à la fois du réseau filaire et sans-fil, ainsi que des ressources qui permettent de simplifier le management, faciliter son analyse et capable d’offrir des capacités de reporting avancées. En parallèle, les enjeux des équipes IT sont aussi d’offrir une vue plus fine et détaillée des usages applicatifs au travers de tout le réseau, pour le protéger plus efficacement contre des usages malicieux et suspects.

Le respect de la confidentialité et de la sécurité des patients en milieu hospitalier est un véritable défi. Consciente de ce challenge, l’industrie prend de véritables mesures proactives pour répondre de façon optimale à la sécurité de ses réseaux et à l’identification de toutes activités anormales. Par l’adoption continue de nouvelles technologies de la part des hôpitaux, pour améliorer la sécurité des données des patients, leurs équipes IT se prémunissent contre de nouvelles attaques et failles potentielles, et développent des plans pour accélérer leurs méthodes de réponse et de secours.