Le mois dernier, le nombre de fuites de données dans le domaine de la santé a considérablement augmenté, ce qui démontre clairement que les fournisseurs de soins de santé, les mutuelles et les partenaires commerciaux ont du mal à prévenir les fuites de données de santé.
La règle de sécurité de la Health Insurance Portability and Accountability Act (HIPAA) a été introduite pour s’assurer que les organisations de soins de santé mettent en œuvre une série de mesures de protection pour assurer la confidentialité, l’intégrité et la disponibilité des données sur les soins de santé.
Cela fait maintenant plus de dix ans que la Règle de sécurité a été introduite et les fuites de données continuent de se produire à une fréquence alarmante. En fait, il y a plus d’fuites de données que jamais auparavant.
Les fuites de données en chiffres
Au mois d’octobre 2017, l’organisme de soins de santé Henry Ford Health System de Détroit a annoncé avoir été victime d’un acte de piratage, impliquant le vol de 18 470 dossiers de patients.
Les 25 et 26 juillet, un centre de chirurgie buccofaciale en Arkansas a également été infiltré par un virus. À cause de cet incident, l’ensemble du personnel ne pouvait pas accéder aux images, fichiers et notes concernant 128 000 patients.
En septembre, le centre médical universitaire d’Augusta a, quant à lui, annoncé avoir été ciblé par une attaque cybercriminelle. Bien que seulement moins de 1 % des dossiers de ses patients aient été volés lors de cette attaque, l’établissement tenait à souligner qu’il s’agissait de la deuxième tentative de phishing menée à son encontre en seulement cinq mois.
Ces trois des violations de données de santé sont parmi les plus notables qui se sont produites en 2017. Pourtant, le rapport de l’Office for Civil Rights (OCR) du département de la Santé et des Services sociaux des États-Unis a annoncé avoir reçu 233 rapports de violation au milieu de l’année, soit 450 violations de plus comparées à celles constatées en 2016.
Le rapport du Baromètre des atteintes à la sécurité des données de Protenus pour le mois de septembre — qui fait le suivi de toutes les fuites de données sur les soins de santé signalées — a révélé 46 atteintes à la protection des renseignements médicaux en septembre. Ces atteintes ont entraîné l’exposition de 499 144 informations sensibles de particuliers.
Les incidents de piratage informatique ont été cités comme étant la cause de 50 % de ces infractions, les initiés ayant causé 32,6 % d’entre eux. La perte et le vol d’appareils sont à l’origine de près de 11 % des brèches du mois.
Les rapports mensuels précédents en 2017 ont également montré que les initiés sont souvent la principale cause des fuites de données dans le domaine de la santé.
Quelques scénarios d’attaques impliquant une fuite de données et donc la violation de la loi HIPAA
La fuite de données résulte souvent de leur divulgation involontaire par vos employés. Ces derniers peuvent par exemple envoyer des e-mails à la mauvaise adresse ou envoyer une mauvaise pièce jointe à une personne qui ne devrait pas la recevoir. Elle peut aussi être due au paramétrage accidentel de l’accès à certaines informations électroniques, permettant ainsi à d’autres utilisateurs de les consulter ou de les exploiter.
Par ailleurs, il ne faut pas négliger les attaques de malwares et le piratage qui peuvent entraîner une violation des données. En fait, les établissements de soins et de santé stockent souvent leurs informations sensibles dans leurs serveurs internes. Lorsqu’il y a des failles de sécurité sur ces serveurs, tout malware ou piratage peut causer des mésaventures pour le personnel ou les patients.
Les menaces peuvent aussi provenir de l’intérieur d’une organisation. Des personnes aux intentions malveillantes, comme des employés actuels et anciens ou des tiers (associés, sous-traitants, etc.), peuvent volontairement divulguer des données dans le but nuire à la réputation de votre établissement, entre autres.
Prenez en compte le risque que peut représenter la perte physique des appareils utilisés par votre personnel et qui contiennent des informations médicales personnelles électroniques.
Enfin, sachez que les escrocs n’hésiteront pas à fouiner dans vos bacs de recyclage du papier à la recherche de données critiques. Si vous devez jeter certains documents contenant des informations critiques, assurez-vous donc de les déchiqueter correctement, car ils peuvent être à l’origine de violations de données.
Les amendes infligées aux entités couvertes par l’HIPAA et aux associés commerciaux peuvent être élevées
Selon la loi HIPAA, la responsabilité des violations de données concerne les entités couvertes, comme les cabinets médicaux, les hôpitaux et les caisses d’assurance maladie. La loi HITECH a élargi la définition des organisations imputables à cette responsabilité, en incluant également les associés commerciaux.
Les conséquences d’une fuite entraînant une violation de données pour les organisations susmentionnées peuvent aller au-delà de la ruine de leur réputation. En ce qui concerne les amendes, le montant est devenu beaucoup plus important qu’auparavant, allant de 100 à 50 000 dollars par violation. Les amendes maximales peuvent même atteindre 1,5 million de dollars au cas où une négligence délibérée serait prouvée comme cause de la violation.
Les données publiées sur le site web de l’OCR, relatives aux violations de données dans le secteur de santé, ont révélé que les mesures d’application de la loi HIPAA n’ont cessé d’augmenter au cours des dix dernières années.
D’un côté, les amendes et les règlements ont fortement augmenté, ce qui est dû en grande partie à la nouvelle volonté de l’organisation de faire respecter ladite loi. De l’autre côté, le montant des pénalités a aussi connu une hausse considérable entre 2015 et 2018.
C’est en 2018 que l’une des plus grandes pénalités financières a été infligée à l’encontre de l’entreprise américaine d’assurance maladie Anthem Inc. en raison de la violation de la loi HIPAA. Cela fait suite à une enquête sur sa violation de données menée par l’OCR en 2015, lors de laquelle l’organisation avait découvert une atteinte à la sécurité de 78,8 millions d’enregistrements. Pour régler cette affaire, Anthem Inc. a dû payer 16 millions de dollars.
Selon la loi HITECH, les patients concernés doivent être informés individuellement des éventuelles atteintes aux informations de santé personnelles. Toute violation de données impliquant plus de 500 patients doit aussi être signalée aux médias de l’État concerné.
La conformité à la loi HIPAA n’empêchera pas les fuites de données dans le domaine de la santé
La conformité à la loi HIPAA peut contribuer dans une certaine mesure à rendre les organisations de soins de santé plus résistantes aux cyberattaques, aux malwares et aux infections par des ransomwares. Pourtant, le simple respect des règles de sécurité de la loi HIPAA ne signifie pas nécessairement que les organisations seront insensibles aux attaques.
La conformité à la loi HIPAA vise à relever la barre en matière de cybersécurité et à garantir le maintien d’une norme minimale. Bien que de nombreuses organisations de soins de santé considèrent la conformité à la loi HIPAA comme un objectif pour obtenir une bonne posture de sécurité, la réalité est que ce n’est qu’une référence.
Pour prévenir les fuites de données, les organismes de soins de santé doivent aller au-delà des exigences de la loi HIPAA.
Compte tenu des scénarios possibles et des chiffres suscités, outre les coûts élevés qui sont associés aux fuites de données, chaque entité couverte et leurs associés commerciaux doivent faire tout ce qui est en leur pouvoir pour éviter de telles situations.
Pour ce faire, les organisations peuvent adopter différentes sortes de stratégies préventives. Voici nos conseils pour vous aider à protéger vos données sensibles.
Le chiffrement des données est nécessaire, mais pas suffisant
Les causes principales des violations de données ont connu des changements notables au fil des ans. Même si la fuite liée à la perte ou au vol d’informations médicales électroniques et de dossiers médicaux protégés avait dominé les rapports de violation, l’amélioration des politiques et des procédures ainsi que l’utilisation du chiffrement ont contribué à réduire les risques qui sont facilement évitables.
L’une des principales causes des divulgations de renseignements médicaux personnels est la perte ou le vol d’ordinateurs portables, de clés USB et d’autres dispositifs mobiles. Bien que les employés puissent être formés pour prendre soin de leurs appareils, les voleurs saisiront toutes les occasions qui se présenteront si les appareils ne sont pas protégés.
La loi HIPAA n’exige pas l’utilisation du chiffrement et l’application d’autres mesures pour sécuriser les dispositifs. Cependant, les entités couvertes par la loi HIPAA et leurs partenaires commerciaux devraient utiliser le chiffrement sur les dispositifs portables pour s’assurer qu’en cas de perte ou de vol, les données ne peuvent être accessibles.
Si un appareil chiffré est volé ou perdu, il ne s’agit pas d’une violation de la loi HIPAA. L’utilisation du chiffrement sur les appareils mobiles est donc un bon moyen de prévenir les fuites de données médicales.
Les petits dispositifs de stockage portables tels que les clés USB sont pratiques, mais ils ne devraient jamais être utilisés pour transporter des renseignements médicaux – Ils sont beaucoup trop faciles à perdre ou à égarer. Utilisez des services de stockage en nuage conformes à la norme HIPAA, tels que Dropbox ou Google Drive, car ils sont plus sûrs.
Cependant, le chiffrement ne suffit pas à protéger les organisations contre les fuites et violations de données. De plus, il n’est pas suffisant en soi, dans la mesure où il ne protège pas les données lorsque celles-ci sont échangées sur un réseau.
Détectez rapidement les fuites internes
La prévention des fuites de données des initiés peut s’avérer difficile pour les organismes de soins de santé. Les employés d’un établissement de santé doivent avoir accès aux dossiers de leurs patients afin de fournir les soins médicaux adaptés. Le fait est qu’il y aura toujours un employé peu consciencieux qui risque de fouiner dans les dossiers des patients qu’il ne traite pas, ou bien des individus qui tenteront de voler des données pour les vendre à des cybercriminels.
La loi HIPAA exige que les organisations de soins de santé tiennent des registres d’accès et vérifient régulièrement ces registres pour détecter tout signe d’accès non autorisé. Le terme « régulièrement » est sujet à plusieurs interprétations différentes.
Un contrôle tous les six mois ou une fois par an pourrait être considéré comme régulier et conforme à cette loi. Cependant, au cours de ces 6 ou 12 mois, les dossiers de milliers de patients ont pu être consultés.
Les organisations de soins de santé devraient aller au-delà des exigences de la loi HIPAA et devraient idéalement mettre en œuvre un système qui surveille constamment l’accès non autorisé ou au moins effectuer des examens trimestriels du registre d’accès au minimum. Cela n’empêchera pas les fuites de données relatives aux soins de santé, mais réduira leur gravité.
Fermez la porte aux pirates informatiques
50 % des fuites en septembre étaient dues à des actes de piratage et à des incidents informatiques.
Les pirates informatiques sont opportunistes et, bien qu’il y ait des attaques ciblées contre de grandes organisations de soins de santé, la plupart du temps, les pirates informatiques tirent profit de vulnérabilités de longue date qui n’ont pas été traitées. Afin de corriger ces vulnérabilités, elles doivent d’abord être identifiées, d’où la nécessité d’analyses de risque régulières, comme l’exige la règle de sécurité HIPAA. Une analyse des risques à l’échelle de l’organisation devrait avoir lieu au moins une fois par an pour rester conforme à la loi HIPAA, mais plus fréquemment pour s’assurer que les vulnérabilités ne sont pas apparues.
De plus, une vérification devrait être effectuée au moins une fois par mois pour s’assurer que tous les logiciels sont à jour et que tous les correctifs ont été appliqués. Il y a eu récemment de nombreux exemples d’instances de stockage dans le cloud qui n’ont pas été protégées et étaient accessibles par le public. Il existe des outils gratuits qui peuvent être utilisés pour vérifier, par exemple, la présence de seaux AWS exposés. Des scanners devraient être effectués régulièrement. Les cybercriminels feront de même.
Gardez à l’esprit que, lorsque quelqu’un veut compromettre votre système, il voudra vous prendre au dépourvu. Pour fermer la porte aux pirates informatiques, vous devrez donc réaliser des tests de vulnérabilité et de pénétration à des moments aléatoires. Le mieux serait de faire appel à des tiers spécialisés en matière de sécurité pour confirmer que tous les mécanismes et protocoles nécessaires pour éviter la fuite de données sont en place et fonctionnent correctement.
En cas d’attaque réussie, communiquez les informations sur les fuites de données
Lorsqu’une organisation subit une fuite de données, elle cherchera normalement à régler le problème rapidement. Il peut sembler logique de se taire pour éviter de nuire à sa réputation. Seulement, le silence n’est pas la solution idéale. La transparence est même une obligation légale.
Tel que stipulé par la règle de notification des violations de la loi HIPAA, les entités couvertes ont l’obligation de signaler toute violation dans les 60 jours au ministère de la Santé et des Services sociaux des États-Unis au cas où 500 personnes ou plus seraient concernées.
Le plus important est de travailler avec votre équipe de communication pour qu’elle puisse entrer en relation avec les médias. Quant à votre équipe juridique, elle a pour rôle d’informer les autorités compétentes. Même les brèches de moindre importance peuvent être signalées annuellement.
Votre personnel doit aussi avoir une notification de l’attaque. C’est une mesure essentielle pour aider vos employés à apprendre à reconnaître les menaces comme le phishing et pour les empêcher de discuter de la violation à l’extérieur. Selon la taille et la portée de la brèche, il est possible que vous soyez contraint de faire des déclarations publiques.
Admettre une faiblesse est souvent difficile, mais le fait de retenir la nouvelle pendant une période prolongée pourrait également entrainer la perte de confiance des employés, des associés et des patients vis-à-vis de votre organisation.
Un conseil : n’expliquez que les détails nécessaires concernant l’incident ; documentez les erreurs commises par votre organisation et les actions que vous avez entreprises et enregistrez les réactions de vos employés et du public. C’est ainsi que votre établissement de santé pourra faire face aux violations de données à l’avenir.
Empêchez les divulgations de renseignements médicaux par votre personnel et vos associés commerciaux
Votre établissement de soins de santé doit s’appuyer sur un personnel diversifié pour mener à bien ses activités. Le problème est que chaque individu qui travaille au sein de votre établissement constitue un point d’exploitation possible pour l’ingénierie sociale, une méthode qui est de plus en plus utilisée par les pirates pour voler des données sensibles.
Par exemple, une personne aux intentions malveillantes peut prétendre être un médecin qui travaille au sein de votre établissement de santé et appeler l’un de vos collaborateurs pour demander des informations le concernant au téléphone ou par e-mail. N’oubliez pas que, dans ces cas, le respect de la règle de confidentialité de la loi HIPAA exige l’existence d’un système de contrôle approprié pour éviter toute violation de données.
La possibilité que le collaborateur concerné fournisse ou non les informations demandées dépendra de la façon dont il a été formé aux protocoles conformes à la loi HIPAA. Voici pourquoi il est essentiel de mener une campagne de sensibilisation régulière quant à la sécurité des données au sein de votre organisation.
Ce ne sont pas seulement les patients et employés qui doivent être conscients des risques liés à la fuite des données, mais aussi les entreprises extérieures et associés qui travaillent avec votre établissement de santé. Lorsqu’ils fournissent des services, ils doivent se conformer aux normes et protocoles appropriés afin d’empêcher tout accès non autorisé aux informations critiques.
Bloquez les attaques de malwares et de ransomwares
Les attaques de malwares et de ransomwares sont des violations à signaler en vertu de la loi HIPAA et peuvent entraîner des violations majeures des données. Le courrier électronique est le principal vecteur de diffusion des malwares ; il est donc essentiel de mettre en œuvre une solution efficace de filtrage des spams.
Passez en revue vos systèmes de protection de la messagerie électronique. Ne vous focalisez pas simplement sur le niveau du stockage et du transfert des e-mails ou sur la vérification de la certification de votre infrastructure informatique. Pensez directement à la sécurité des boîtes aux lettres électroniques de tous vos collaborateurs, car le système de messagerie électronique est la cible privilégiée des pirates pour mener des attaques de ransomwares et de phishing. L’essentiel est d’aller au-delà des passerelles de messagerie traditionnelles et d’utiliser celles qui sont spécifiquement conçues pour une sécurité élevée et pour la conformité à la loi HIPAA.
La loi HIPAA exige qu’une formation soit dispensée régulièrement aux employés, mais une séance de formation annuelle ne suffit plus. Des séances de formation devraient avoir lieu au moins tous les six mois, avec des alertes de sécurité régulières sur les dernières menaces de phishing communiquées aux employés, au besoin. Idéalement, la formation devrait être un processus continu, comprenant des exercices de simulation d’hameçonnage.
Les malwares et les ransomwares peuvent également être téléchargés lors d’attaques par drive-by lorsque vous naviguez sur Internet. Une solution de filtrage web devrait être utilisée pour empêcher les employés du secteur de la santé de visiter des sites malveillants, pour bloquer les sites web de phishing et pour empêcher le téléchargement de malwares par drive-by.
Un filtre web n’est pas une exigence de la loi HIPAA, mais il s’agit d’une couche de sécurité supplémentaire importante qui peut prévenir les fuites de données médicales.
La question n’est pas de savoir si vous serez victime d’une fuite de données, mais quand
Comme vous pouvez le constater, la raison pour laquelle votre organisation devrait se conformer à la loi HIPAA n’est pas seulement d’éviter les amendes, même si leur montant peut atteindre plusieurs millions de dollars. Il faut également tenir compte des dommages liés à la perte de réputation de votre entité, des frais juridiques et de réparations en cas d’atteinte à la sécurité des données.
N’oubliez pas également que les cyberattaques sont imprévisibles. Il n’y a aucun moyen de savoir quand elles se produiront, d’où elles viendront, ni l’étendue des dommages qu’elles pourraient causer à votre entité. Ce qui est certain, c’est que la plupart des violations de données majeures entraînent des dégâts chaotiques.
L’un des plus grands défis que vous devez relever est d’établir un plan d’action solide et flexible qui vous permettra de prévenir les attaques et de réagir en cas de crise. La formation du personnel à la prévention d’une violation et le chiffrement des données sont essentiels pour se conformer à la loi HIPAA. Mais cette conformité ne suffit pas pour mettre votre établissement à l’abri de nombreuses autres attaques cybercriminelles, dont les conséquences peuvent aussi être désastreuses.
Si vous avez besoin de conseils pour protéger votre organisation contre les fuites de données, les spams, les malwares, le phishing, etc., contactez l’équipe de TitanHQ dès aujourd’hui.