Enquête sur les vols de données en milieu médical

Verizon annonce avoir réanalysé les données des dernières éditions (2016 et 2017) de son Data Breach Investigations Report pour produire une version spécifiquement centrée sur les enjeux du secteur de la santé en matière de protection des données et particulièrement des données médicales protégées ou PHI (protected health information), qu’elles soient informatisées ou pas. Le 2018 Protected Health Information Data Breach Report (PHIDBR) s’appuie sur 1 368 incidents couvrant 27 pays.

Aujourd’hui il nous semble parfaitement acceptable que les médecins et les professionnels de santé aient un accès complet à nos dossiers et antécédents médicaux car cela participe à l’amélioration de la qualité des diagnostics et des soins. Toutefois, la nature sensible de ces données et la très grande volumétrie d’informations que détient le secteur de la santé en font une cible attractive et lucrative pour criminels et pousse à la vigilance.

Voici les principales conclusions du rapport :
58% des incidents recensés impliquaient des employés complices. La santé est le seul secteur d’industrie où les acteurs internes constituent la principale menace pour l’organisation. Dans 48% des cas ils sont motivés par l’appât du gain et utiliseront ces données pour de la fraude, notamment à l’ouverture de ligne de crédit dans une banque. Dans 31% des cas c’est l’amusement ou la curiosité de consulter les dossiers médicaux de célébrités ou de proches qui les pousse à passer à l’acte. Dans 10% des cas c’est par simple envie de simplifier ou raccourcir les procédures, par commodité.

70% des incidents informatiques impliquant du code malveillant sont des infections par ransomware. Ce pourcentage élevé confirme dans ce secteur ce que l’on observe partout: un recours croissant à cette pratique. L’édition 2017 du Data Breach Investigations Report l’indiquait déjà et les cyberattaques perpétrées en Europe à la mi 2017 l’illustrent parfaitement.

27% des incidents concernent des PHI imprimées sur papier. Qu’il s’agisse des prescriptions transférées entre les établissements cliniques et les pharmacies, des relevés de facturation adressés par courrier, des documents de sortie ou des certificats médicaux remis aux patients ou encore des photocopies des cartes d’identité et d’assurance, les documents imprimés prévalent encore souvent dans le secteur de la santé, plus qu’ailleurs. La nature même de la documentation PHI détenue et manipulée par le personnel médical conduit à des faiblesses que l’on pourrait prévenir. Dans 20% des incidents, des données sensibles sont tout simplement mal adressées. Dans 15% il s’agit de documents jetés sans être détruits ou rendus illisibles. Enfin, 8% des incidents sont des pertes de documents.

21% des incidents impliquaient des PC portables perdus ou volés contenant des données PHI non chiffrées. Il semble que le personnel médical soit mal formé aux mesures de sécurité élémentaires et le recours au chiffrement des disques durs est loin d’être systématique.

Prévenir à court terme
Si les chiffres mis en lumière dans ce rapport sont sans appel, des dispositions rapides peuvent grandement améliorer la situation à court terme :

Le chiffrement intégral du disque dur : cette méthode efficace et relativement peu coûteuse aide à protéger les données sensibles des criminels, notamment en cas de perte ou vol de l’ordinateur.

La surveillance et le traçage systématique des accès aux dossiers : des règles et des procédures simples peuvent être mises en place pour gérer les accès internes aux PHI. Tous les salariés peuvent être sensibilisés par des formations au fait que chaque fois qu’ils consultent les données de patients sans motif légitime, des mesures correctives peuvent être envisagées.

Augmenter la résilience face aux ransomwares : En veillant à ce que les terminaux utilisateurs ne puissent pas propager et diffuser les ransomwares sur les machines critiques et en appliquant des contrôles préventifs et des protections contre l’installation de malware, il est possible de grandement limiter les risques. Les appareils dont le maintien en fonctionnement est critique ne doivent pas être connectés au réseau.

Prévenir à long terme
La sécurisation des données PHI à long terme est primordiale pour la réussite de la transformation digitale de la santé et la stabilité des projets de développement qui en dépendent.

Les restrictions d’accès aux informations des patients excessivement strictes peuvent impacter la capacité des personnels de santé à prendre rapidement des décisions adaptées pour les soins. Toutefois, des améliorations sont généralement possibles sans entraver le travail des équipes. Par exemple, une analyse approfondie et des audits réguliers des droits d’accès aux données sensibles permettraient de maintenir la facilité d’accès des prestataires de soins médicaux, tout en réduisant les accès inutiles et donc les risques de consultations illégitimes.

Les PHI électroniques (ePHI) sont à surveiller de près. Les compromissions de données ePHI concernent la publication de données sensibles sur des sites publics (7%) et les erreurs de transmission par e-mail (7%), peuvent représenter un risque ou générer des dommages importants mais beaucoup moins que les compromissions associées aux documents papier. Les organisations devraient œuvrer pour réduire les données PHI sur papier et établir un programme holistique de gestion des risques qui protège non seulement les données ePHI, mais aussi les autres données sensibles qu’elles stockent et traitent.