Les autorités fédérales exhortent les organismes de santé à se préoccuper de la sécurité du cloud computing. Cet avis intervient au milieu de récents cyber-incidents impliquant des fournisseurs de cloud computing. Selon les autorités fédérales américaines, alors que le secteur de la santé est en train de passer aux applications et aux services basés sur le cloud, il doit être proactif en abordant une liste de risques de sécurité associés.
Recommandations
Le centre de coordination de la cybersécurité du secteur de la santé du ministère de la Santé et des services sociaux (Department of Health and Human Services - Health Sector Cybersecurity Coordination Center) (HHS HC3) a abordé le sujet dans une note d'analyse publiée la semaine dernière à l'intention du secteur de la santé publique et des soins de santé.
En résumé, les principales menaces et les principaux risques en matière de sécurité liés au Cloud sont les suivants :
- Les schémas d'hameçonnage visant à voler les informations d'identification du cloud ; Le détournement du cloud, qui implique que des cybercriminels prennent le contrôle d'un compte ; Shadow IT - notamment l'utilisation non autorisée de services de cloud public par des employés ;
- Le manque de visibilité du cloud, comme des angles morts qui entraînent une absence d'alerte sur les incidents de sécurité ;
- Les mauvaises configurations, notamment les ports entrants /sortants sans restriction, les clés d'interface de programmation d'applications non sécurisées, les fonctions de surveillance ou de journalisation désactivées et le fait de laisser ouvert l'Internet Control Message Protocol.
« L'objectif principal de la sécurité du cloud est de maintenir l'intégrité des fichiers et d'empêcher tout accès non autorisé, mais les outils et stratégies traditionnels ne sont pas toujours capables d'y parvenir », écrit le HHS HC3.
Compromissions majeures du cloud
L'avis du HHS HC3 intervient alors que plusieurs cyber-incidents majeurs récents impliquant des fournisseurs de services de cloud qui s'adressent au secteur des soins de santé sont intervenus. Il s'agit notamment d'un incident de piratage détecté à la fin de l'année dernière chez le fournisseur de dossiers médicaux électroniques en nuage Eye Care Leaders, qui a entraîné un nombre croissant d'entités de soins de santé signalant des violations de données au Bureau des droits civils du HHS au cours des derniers mois et des dernières semaines, affectant au moins 3 millions de leurs patients, à ce jour.
Les services de santé nationaux du Royaume-Uni ont subi des interruptions de certaines applications, dont le service de soins d'urgence 111, après l'attaque par ransomware, il y a deux semaines, d'Advanced, un important fournisseur de logiciels en nuage du système de santé public de ce pays.
Dépendance croissante
« La plupart des grandes organisations de soins de santé sont devenues de plus en plus dépendantes des services basés sur l'informatique dématérialisée », déclare John Houston, vice-président de la confidentialité et de la sécurité de l'information et conseiller associé des organisations de prestation de soins de santé intégrés au centre médical de l'université de Pittsburgh (University of Pitttsburg Medical Center) (UPMC), qui comprend 40 hôpitaux et 800 sites ambulatoires. Cette dépendance est due en grande partie au fait que de nombreux fournisseurs informatiques déplacent leurs services « exclusivement vers le cloud », explique-t-il à Information Security Media Group.
« En tant que tel, assurer la sécurité et la disponibilité des services basés sur le cloud - et des informations associées - est et restera l'une des principales priorités de l'UPMC. Malheureusement, une telle assurance peut être problématique pour diverses raisons, notamment pour être en mesure d'évaluer avec précision la posture de sécurité du fournisseur de services en nuage. En outre, il est difficile d'obtenir des engagements contractuels significatifs, y compris une couverture financière en cas de violation », affirme M. Houston.
Benjamin Denkers, directeur de l'innovation au sein de la société de conseil en confidentialité et sécurité Cynergis Tek, pense également que « la plus grande menace liée au cloud réside dans le fait que les organisations dépendent des tiers et supposent que l'environnement est correctement sécurisé. La sécurité du cloud est une responsabilité partagée, NDLR [une coresponsabilité au sens RGPD du terme] et il est essentiel de comprendre qui est responsable de quoi. Les organisations doivent commencer par une compréhension approfondie du modèle de responsabilité partagée », lance-t-il.
Les entités doivent savoir à quoi ressemble le paysage des menaces à mesure qu'elles migrent vers le cloud et comment les divers ajouts ou changements augmentent ou réduisent l'exposition. Elles doivent exprimer les risques qu’elles sont prêtes à endosser, y compris juridiquement, au plan de l’exploitation de leur bilan et surtout sur leur mission de soins des patients Elles doivent valider en permanence que les contrôles sont efficaces et adaptés à leur niveau d'acceptation des risques.
Meilleures pratiques en matière de sécurité du cloud
Les organisations du secteur de la santé devraient mettre en œuvre plusieurs meilleures pratiques pour aider à réduire leurs risques de sécurité impliquant des services de cloud, recommande HHS HC3.
Ces pratiques sont les suivantes :
- Utiliser un fournisseur de services en nuage qui chiffre les données ;
- Réalisation d’audits de conformité ; ou mieux réalisation de d’analyse permanente ou « on demand » des risques effectifs en contexte sur les privilèges et permissions des acteurs identifiés (chemins d’attaques, criticité, scoring) Mise en œuvre d'un modèle de confiance zéro ;
- Établir et appliquer des politiques de sécurité et mettre en place des paramètres de confidentialité préférés ;
- Utiliser une authentification multifactorielle ;
- Maintenir la visibilité du cloud;
- Installer des mises à jour du système d'exploitation ;
- Éviter l'utilisation du Wi-Fi public ;
- Comprendre les exigences de conformité et les réglementations du cloud.
Les mauvaises langues prétendront, peut-être à juste raison, que si vous avez les moyens (prise de conscience de la chaîne hiérarchique, personnels compétents, dialogue transversal établi, ressources financières et en temps) d’établir les diagnostics, ce qui est loin d’être le cas, encore faudra-t-il convaincre de choisir une trajectoire commune et les moyens de remédiation. Ah, j’oubliais, et surtout après 17 heures, 24 heures sur 24, jours fériés inclus car c’est bien connu, les vilains attaquent aux heures ouvrables. Il ne faut pas jouer les riches quand on n'a pas le sou, métaphoriquement s’entend, car un faux-pas est bien vite arrivé. Prévenir vaut mieux - et moins cher ! - que guérir.
Violences sexistes et sexuelles : la Pr Agnès Buzyn se paye l’Ordre pour avoir « trop souvent protégé » les harceleurs
La santé publique doit être la deuxième priorité du Parlement européen, selon un sondage
Pas d’écrans avant 3 ans, pas de téléphone avant 11 ans… : la commission d’experts propose un guide fondé sur la science
Violences sexistes et sexuelles
Comment s’enracinent les schémas de domination à l’hôpital