La technologie a transformé le secteur de la santé, mais l’innovation du numérique a ouvert la voie à un risque majeur : les cybermenaces. Le prix de revente des données volées montre à quel point ces informations sont précieuses.
Comme l’a montré l’agence de notation Experian, ces données représentent des sommes colossales pour les pirates prêts à les vendre sur le dark web. En réalité, les dossiers médicaux volés peuvent rapporter jusqu’à 1 000 $ l’unité, ce qui les rend particulièrement attrayants pour les cybercriminels.
Des milliers d’attaques sophistiquées se produisent chaque jour. Dans ce contexte, il est plus important que jamais pour les entreprises du secteur de la santé d’investir dans une solution d’authentification multifacteur. Dans cet article, nous allons voir comment l’authentification multifacteur peut protéger les données médicales sensibles des patients et des hôpitaux, à la fois en protégeant les accès et en aidant les organisations à se conformer aux réglementations relatives à la protection des données.
En quoi la 2FA protège-t-elle les accès aux données sensibles dans le secteur de la santé ?
À l’origine de la majorité des cyberattaques, on trouve un acteur malveillant qui parvient à se connecter au réseau d’une entreprise. Beaucoup de ces failles sont dues à l’erreur humaine : le Rapport d’enquête Verizon 2022 sur les compromissions de données montre que les problèmes d’identifiants sont à l’origine de plus de 70 % des attaques observées, qu’il s’agisse d’identifiants volés, faibles ou récupérés par phishing. Dans ce genre de situation, l’authentification à deux facteurs (2FA) peut s’avérer très utile.
La 2FA fournit une couche de sécurité en plus de la combinaison nom d’utilisateur/mot de passe (premier facteur d’authentification) en demandant aux utilisateurs de fournir un facteur supplémentaire pour vérifier leur identité et accéder aux données sensibles. Ce deuxième facteur peut prendre la forme d’un jeton physique, d’une notification push ou d’une application d’authentification. En cas de cyberattaque, la 2FA permet de stopper la tentative de connexion et de refuser l’accès aux acteurs malveillants. Après tout, si les cybercriminels ne sont pas en mesure de se connecter, ils ne peuvent pas accéder aux systèmes de l’entreprise et voler ses données.
L’authentification multifacteur dans le secteur de la santé offre plusieurs avantages :
- Elle automatise les contrôles qui stoppent l’attaque et bloque l’accès avant que cette dernière ne provoque des dégâts, au lieu de simplement générer une alerte.
- Elle protège les accès de tous les employés et pas seulement celui des administrateurs privilégiés, ce qui renforce la posture de sécurité de toute l’entreprise.
- Elle est facile à adopter par les utilisateurs finaux, en particulier lorsqu’elle est déployée à l’aide de contrôles granulaires ou en parallèle d’autres contrôles des accès, et ne requiert pratiquement aucune formation.
- Elle est compatible avec les référentiels de sécurité Zero Trust, principe central de la cybersécurité moderne qui se base sur l’authentification des identités pour tous les utilisateurs, internes comme externes.
Pourquoi la 2FA est-elle vitale pour le secteur de la santé ?
Comme nous l’avons mentionné ci-dessus, le vol et la revente sur le dark web de dossiers médicaux est une activité estimée à plusieurs milliards de dollars. C’est donc en toute logique qu’elle attire la convoitise des cybercriminels.
Lorsque l’on connaît le volume de données de santé en circulation, on comprend que ces attaques représentent à la fois un risque critique et un coût potentiel gigantesque pour les organisations de santé concernées. Comme le montre le Rapport IBM 2022 sur le coût d’une compromission de données, chaque dossier de santé compromis représente en moyenne un coût de 250 $, ce qui est 80 % plus élevé que le coût moyen d’une compromission de données standard. Par ailleurs, le secteur de la santé met généralement plus de temps à détecter et à neutraliser une faille : le rapport estime que la détection d’une faille prend en moyenne 236 jours.
Le secteur de la santé est extrêmement réglementé et la protection des accès aux informations de santé sensibles est régie par des réglementations strictes. Pour se conformer aux lois sur la cybersécurité dans le milieu de la santé, l’accès aux données doit se restreindre au « besoin d’en connaître ». Ce niveau de protection est non seulement crucial pour des raisons de conformité, mais aussi pour garantir les meilleurs soins aux patients et la meilleure protection pour leurs données personnelles.
Comment la 2FA aide votre organisation à satisfaire aux exigences de conformité et aux réglementations sur la protection des données dans le secteur de la santé
La PGSSI-S recommande l’utilisation d’une authentification forte au moyen de la combinaison minimum de deux facteurs d’authentification différents. Ces facteurs peuvent être de connaissance, de propriété ou encore d’inhérence. En complément, l’ANSSI, en collaboration avec la CNIL, a rédigé un guide sur les recommandations relatives à l’authentification multifacteur et aux mots de passe, qui vise à présenter et préciser l’importance de l’authentification multifacteur dans la protection des accès aux systèmes.
Qu’il s’agisse du contrôle des accès ou de l’authentification des personnes ou des entités, l’authentification multifacteur joue un rôle essentiel pour atteindre et maintenir la conformité réglementaire. Elle prouve que l’organisation a activement mis en œuvre des mesures en vue de se conformer aux exigences diverses et de protéger les données des patients à tous les niveaux. Qui plus est, la 2FA permet de s’assurer que seuls les individus autorisés ont accès aux dossiers médicaux, aux informations personnelles sensibles et aux informations de santé identifiables individuellement.
Choisissez la 2FA UserLock pour la cybersécurité du secteur de la santé
Les compromissions d’identifiants sont aujourd’hui trop fréquentes pour que les organisations n’améliorent pas la sécurité de leurs données de façon proactive. C’est là que UserLock, notre solution logicielle innovante et efficace d’authentification multifacteur et de gestion des accès, peut vous aider.
UserLock offre une 2FA granulaire personnalisée, conçue pour protéger l’accès des utilisateurs Active Directory aux réseaux d’entreprise, y compris dans les environnements sur site et hybrides. Ainsi, tous les accès de vos identités Active Directory sont protégés, qu’il s’agisse d’administrateurs ou de consultants sur site, ou encore d’agents ou de personnels infirmiers à distance. UserLock peut aider les organisations à satisfaire aux exigences de conformité en sécurisant l’accès et en protégeant les données des patients. En outre, vous disposez d’une surveillance et d’alertes en temps réel sur les accès pour faciliter la détection des menaces et accélérer les délais de réponse.