LINKBYNET-Securiser-ses-donnees-TI

SÉCURISER SES DONNÉES TI QUAND ON EST ACTEUR DANS LA SANTÉ, UN DES ENJEUX AU QUOTIDIEN

LINKBYNET-Securiser-ses-donnees-TI

La Santé est un domaine particulièrement vulnérable aux risques sécuritaires liés à une cyber-attaque.

Il est difficile de comptabiliser tous les facteurs qui participent à l’augmentation du niveau de risque global au premier regard. Ce qui s’observe par contre dans un hôpital, c’est qu’un grand nombre de personnes ont accès à des données personnelles sensibles au travers de points d’accès qui sont souvent partagés par plusieurs professionnels de la santé, employés ou non de l’hôpital.

L’accès à ces informations est vital et il n’est pas question d’en limiter l’usage au risque d’interférer sur les soins prodigués, toutefois il est de la responsabilité des équipes de sécurité opérationnelle et de gouvernance de s’assurer de la mise en place de solutions pour limiter les risques au maximum dans cet environnement extrêmement dynamique. Il n’existe pas beaucoup d’environnements qui exposent à la fois autant de données sensibles et mélangent usagés et employés dans les mêmes environnements physiques. On peut facilement envisager un point d’accès partagé avec une session laissée ouverte ou des ports USB accessibles à tous qui pourraient être à l’origine des nombreuses attaques au rançongiciel enregistré ces dernières années.

Ces types d’attaques ne sont pas rares et il convient de se préparer au pire le mieux possible en élaborant un plan de gestion de crise efficace. Encore récemment un hôpital basé au Missouri(1) a été contraint de refuser certains patients suite à une infection par rançongiciel, fort heureusement leur plan de gestion de crise leur a permis de limiter les impacts de cette attaque et les soins des patients déjà sur site ont pu être maintenus.

Mais ce n’est pas le seul type d’attaque, une simple recherche montre que le domaine de la santé est régulièrement victime d’attaques variées, de l’hameçonnage au rançongiciel en passant par l’exploitation de vulnérabilités connues. Par exemple, une compagnie produisant des prothèses(2) a été victime d’un vol de données suite à l’exploitation d’une vulnérabilité logicielle sur leurs équipements.

Le domaine de la santé est une cible prisée des hackeurs qui savent pouvoir y obtenir des informations personnelles identifiables incluant des données de santé, cartes de crédit, adresses etc… ou encore des données de propriétés intellectuelles dans le cas d’entreprises pharmaceutiques. La frontière entre le médical et l’humain est faible et aucune sauvegarde ne permet de contrer le risque de rançongiciel sur un individu.

Par où commencer la mise en place des mesures de sécurisation appropriées à vos architectures TI ?

Il est donc important de mettre en place des mesures de protections appropriées à ce type d’environnements. La première étape est de s’assurer que l’on est conforme aux lois provinciales et fédérales en vigueur, cependant, ces lois dictent le cadre réglementaire mais ne détaillent pas les mesures à mettre en place pour être conforme. Les cadres normatifs peuvent ensuite être utilisés pour mettre en place les mesures nécessaires à la protection des données, HIPAA et ISO 27001/ISO 27002 sont de bons exemples. Sans forcément viser la certification, ces cadres normatifs doivent être utilisés comme des listes de contrôle pour comparer les moyens qui sont en œuvre présentement dans vos infrastructures TI par rapport à une infrastructure cible limitant au mieux la surface d’attaque de votre compagnie.

Notre expérience nous a montré que ces cadres normatifs permettaient aussi de donner les premières étapes à suivre aux clients ne sachant pas par quoi commencer lorsqu’il s’agit de mettre en place des mesures de sécurité. Parce qu’une attaque réussie est une attaque qui ne se voit pas, il faut s’assurer de couvrir chacune des couches de vos architectures TI avec les mesures de détection et de prévention appropriées à vos risques d’entreprise.

Dans les premières étapes du cadre normatif, l’analyse des risques de votre entreprise permettant de connaître vos actifs sensibles est incontournable pour définir et appliquer les mesures de sécurité correspondantes. Cette analyse permet de cibler les mesures à mettre en place dans le respect de l’équilibre budget/mesures de protections.

De votre analyse de risque et de l’évaluation de correspondance aux normes découleront les mesures techniques et organisationnelles à mettre en œuvre pour une protection efficace de votre compagnie. Ces mesures sont par exemple :

  • La mise en place de processus de gestion des actifs afin d’inventorier, prioriser et documenter les actifs en place. Un actif peut inclure une banque d’information électronique, un système d’information, une technologie de l’information ou une installation, ou encore un ensemble de ces éléments acquis ou constitués par une entreprise ou une organisation.
  • La mise en place de la procédure de gestions des incidents de sécurité avec la procédure de réponse en cas de crise.
  • La définition de l’architecture TI.
  • Le choix des solutions techniques appropriées au contexte (Antimalware nouvelle génération, IPS, surveillance d’intégrité, SIEM).
  • La mise en place de processus de gestion des vulnérabilités comprenant l’outil technique et la gestion des détections et corrections.

C’est ici que LINKBYNET entre en jeu, notre cœur de métier a toujours été de comprendre les besoins de nos clients et proposer des solutions sur mesure pertinentes afin de suivre chacun des contextes spécifiques rencontrés. Nos équipes interviennent sur une grande variété d’architectures clientes différentes avec une réponse appropriée à chacune.

Nous proposons donc un accompagnement personnalisé pour chacune des étapes de votre besoin de sécurisation. Que ce soit pour mettre en place une analyse des risques en suivant des méthodologies reconnues sur le marché, une analyse ponctuelle de votre posture via HIPAA ou ISO 27002 ou la mise en place des mesures techniques et organisationnelles nécessaires à votre compagnie.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.