BREAKING NEWS

Comment la MFA vous aide à protéger vos données de santé ?

Posted On 30 Sep 2022
By :
Comment: 1

L’un des aspects les plus rassurants lorsque l’on se rend chez le médecin ou chez un prestataire de soin, est de savoir que tout ce dont vous allez parler restera confidentiel. Votre dos est victime d’une éruption cutanée avec démangeaisons ? Cela restera entre vous et le médecin. Vous souhaitez échanger sur votre perte de cheveux ou votre prise de poids ? Cette conversation ne quittera pas la salle d’examen. Mais que se passe-t-il lorsque votre dossier médical est dévoilé à votre insu ?

L’effroyable réalité des vols de données

Très récemment un nouvel établissement hospitalier a été victime d’une cyberattaque. Nos données de santé sont des cibles permanentes pour les pirates informatiques. Rien qu’à l’été 2021, 1.4 million de patients ont vu leurs données dérobées suite à une attaque visant les Hôpitaux de Paris. A noter également qu’il y a eu une augmentation de 475% des attaques entre février et mars 2020, au moment même où les hôpitaux étaient le plus en difficulté suite à la pandémie. La plupart des vols de dossiers ont lieu suite à un piratage ou à un incident informatique, compromettant les serveurs réseau ou les emails.

Les établissements de santé ont une grande surface d’attaque, augmentant par conséquent les vulnérabilités que les cybercriminels peuvent exploiter facilement. Et les dossiers médicaux complets sont de véritables trésors contenant des informations sensibles : nom complet, date et lieu de naissance, numéro de sécurité sociale, adresses physiques et numériques, informations de carte de crédit, etc. La question est : que font-ils de ces données ? Il est possible de le revendre, à savoir qu’un dossier médical complet peut valoir entre 50 et 100 dollars, ce qui rend les données de santé très précieuses. Mais ils peuvent également s’en servir pour mettre en place d’autres systèmes de fraudes et récolter toujours plus d’argent, comme la fraude à la carte vitale ou au faux virement.

En dépit de cela, les organisations de santé sont en retard dans leur préparation à la cybersécurité en comparaison aux autres industries. The Brookings Institution (en anglais) rapporte que la découverte d’une faille de sécurité prend environ 235 jours dans l’industrie de la santé et 93 jours de plus pour atténuer les dommages. En outre, le coût moyen d’une fuite de données est de 9,2 millions de dollars.

Comment assurer la sécurité des données de santé

Imaginez que vous alliez chez le médecin. Dès votre arrivée, la réceptionniste va vous demander votre carte vitale et vérifier avec vous vos informations, numéro de téléphone, adresse email, adresse postale, etc. Puis vous allez rentrer dans le bureau du médecin qui aura accès à votre dossier médical, vos antécédents, vos résultats d’examens, vos traitements passés ou actuels. Pour résumer, lors de cette visite, plusieurs personnes auront eu accès à des informations vous concernant.

La question à la base de la protection des données de santé est la suivante : comment sécuriser l’accès ?

La RGPD et la PGSSI-S offrent un cadre de sécurité

Pour les organisations de santé, sécuriser l’accès aux données de sante et éviter d’être victime d’attaque commence par être en conformité avec le RGPD (Règlement Général sur la Protection des Données) et la PGSSI-S (Politique Générale de Sécurité des Systèmes d’Information de Santé).

La CNIL, parmi toutes ses autres fonctions, va veiller à ce que votre médecin ou à ce que l’établissement de santé applique le RGPD, qui encadre le traitement des données personnelles au sein de l’Union européenne. Protégeant ainsi vos informations sensibles.

La PGSSI-S est un ensemble de référentiels, de documents et de supports qui offrent un cadre de référence pour la sécurisation des pratiques en matière de e-santé, tant pour les secteurs de santé privés que publiques, qui s’applique dès que des données de santé à caractère personnel sont manipulées.

Bien que le RGPD s’adresse à tous acteurs manipulant des données à caractère personnel, et pas spécifiquement à l’univers de la santé, combiné avec la PGSSI-S cela offre un cadre de référence suffisamment clair pour permettre aux acteurs de savoir comment répondre aux exigences.

Comment sécuriser l’accès aux données de santé en pratique

Nous avons vu que lors d’une simple visite de routine plusieurs personnes accèdent à nos dossiers médicaux, alors imaginez à l’hôpital, on peut facilement doubler voire tripler le nombre d’accès.

C’est pourquoi les différentes réglementations mettent fortement l’accent sur la protection des accès aux données de santé.

L’authentification multifacteur

La PGSSI-S recommande l’utilisation d’une authentification forte au moyen de la combinaison minimum de deux facteurs d’authentification différents. Ces facteurs peuvent être de connaissance, de propriété ou encore d’inhérence. En complément, l’ANSSI, en collaboration avec la CNIL, a rédigé un guide sur les recommandations relatives à l’authentification multifacteur et aux mots de passe, qui vise à présenter et préciser l’importance de l’authentification multifacteur dans la protection des accès aux systèmes.

Avec une solution adaptée, vous pouvez renforcer la sécurité des accès grâce à son authentification multifacteur (MFA) qui offre une couche de sécurité supplémentaire permettant de sécuriser et protéger l’accès aux données de santé.

Le contrôle d’accès des utilisateurs

Outre l’authentification des utilisateurs, il y a d’autres mesures à prendre en compte pour protéger les données sensibles. Notamment l’identification unique de l’utilisateur et la déconnexion automatique

L’identifiant utilisateur unique

L’identifiant est une suite de caractères (numéro aléatoire, numéro déduit à partir de trait d’identité, etc.) et qui permet de différencier deux personnes.

Comme l’indique la CNIL dans ses recommandations de sécurité, cela permet de sécuriser les données en éliminant les identifiants et mots de passe partagés, garantissant ainsi une identification correcte des utilisateurs. Elle empêche également les identifiants d’être compromis par des acteurs menaçants, que ce soit en interne ou en externe.

Les solutions de sécurité telles que UserLock peuvent autoriser ou refuser l’accès selon certains critères contextuels tels que l’emplacement, la station de travail, l’appareil utilisé ou l’horaire. Cela permet d’empêcher les utilisateurs non autorisés à accéder aux informations de données de santé sensibles.

La déconnexion automatique

Paramétrer la déconnexion automatique sur un système permet de terminer une session utilisateur après une durée déterminée. Conformément aux recommandations de la CNIL, ces précautions permettre de réduire les risques d’intrusions via les postes de travail laissés ouverts.

La déconnexion automatique est un moyen efficace de garantir la sécurité des données en coupant l’accès à un poste de travail ou à un appareil non surveillé. En outre, le refus des connexions simultanées est un autre moyen de vérifier un utilisateur et d’approuver l’accès.

Une solution semblable à UserLock fournit à la fois l’identification unique de l’utilisateur et la déconnexion automatique pour renforcer la sécurité des données.

Effectuer des audits de contrôle

Les contrôles d’audit permettent d’enregistrer et d’examiner les activités liées aux informations de santé électroniques protégées. Par exemple, UserLock enregistre, centralise et vérifie les connexions au réseau. Dans le cas malheureux d’une violation, ce type de contrôle est utile car les journaux peuvent être examinés après l’événement afin de soutenir l’expertise informatique.

De plus, les contrôles d’audit aident à gérer l’accès des utilisateurs en confirmant leur identité et en les rendant responsables de toute activité malveillante.

Soyez en conformité grâce à la gestion des accès aux données de santé

 Avec l’augmentation des violations de données médicales et le prix élevé que ces données volées entraînent, il est clair que le respect des normes devrait être une priorité pour chaque organisation de soins de santé. Les solutions de sécurité comme la MFA de UserLock fournissent l’expertise technique nécessaire pour mettre en œuvre les composants importants de ces normes afin de sécuriser les informations de santé protégées. Vous êtes prêts à réduire vos risques et à améliorer la sécurité de vos données ?

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.
  1. bob 03/10/2022 at 10:17 Reply

    Il faut surtout refuser toute sorte d’archivage médical informatique. Les hôpitaux sont des passoires. Les prestataires de véritables voleurs.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Partenaires

Transmettre vos fichiers sécurisés à ZATAZ IS Decisions Logo Guardia CS, école de cybersécurité à Paris, Lyon et Bordeaux
Cyber university
ZATAZ Partenaire du Forum International de la Cybersécurité
Ambient IT Formation OSCP Tutos gratuits sécurité informatique

Publicité

Flux Data Security

Partenaires de ZATAZ

Oteria Cyber School
Barracuda ! Abonnez-vous gratuitement aux actuaités de ZATAZ Soyez plus rapide que les pirates informatiques ! facebook twitter instagram twitch instagram youtube zataz

Publicités

Rechercher une info

Calendrier

novembre 2024
L M M J V S D
 123
45678910
11121314151617
18192021222324
252627282930  

Les + commentés

Loi Fake News Patchs Tuesday chantage par mail

Retour du chantage par mail : je vous vois à poil !

210 Comments
Escroquerie - Plusieurs dizaines de lecteurs de ZATAZ m'ont alerté d'un étrange courriel reçu. Il contient le mot de passe des cibles et réclame de l'argent pour ne pas en divulguer plus. ZATAZ va vous expliquer le fond de l'arnaque.

Escroquerie : chantage par mail à l'encontre de milliers de Français

206 Comments
Chantage

Chantage par mail : NON vous n'avez pas été piraté

150 Comments

Publicités

Sur le Oueb

Revue de presse : ZATAZ Revue de presse
Réseaux sociaux : TW/FB/TK/Masto/LK
DSB : Data Security Breach
Page officielle Damien Bancal

Divers

Remonter un problème.
Mentions légales.
Certaines images viennent de Freepik.
Typo titre : adrien-coquet.com

Protocole d’alerte ZATAZ

Protocole ZATAZ (2023) : 80 876
Taux de correction (100 derniers cas) : 97 %
Alerter anonymement.
Page sécurisée Bluefiles pour transmettre à ZATAZ un fichier.

Service Veille ZATAZ

Espaces pirates sous surveillance: 217 201 Alertes envoyées au 01/11/2023 : 27 801 Fuites constatées en 2023 : + 17 milliards Service veille ZATAZ : veillezataz.com

L'école de cybersécurité Cyber Management School
Copyright 1996 - 2020 :: ZATAZ - Réalisation DB. - Le site OFFICIEL est ZATAZ.COM - Le reste ne serait que contrefaçon