Sécuriser l’accès à distance pour les professionnels de la santé
Trois éléments à prendre en considération concernant la protection des pratiques médicales hybrides
De nombreux organismes de santé ont embauché davantage de télétravailleurs ces dernières années, mais il leur a été difficile de maintenir leurs défenses de cybersécurité à jour. Entre les pressions financières et les pénuries de personnel, elles ont dû compter sur des « correctifs » à plus court terme pour protéger leurs effectifs hybrides contre des attaques de plus en plus intenses.
Par exemple, pendant la pandémie mondiale, tandis que de plus en plus d’employés ont commencé à télétravailler, 51 % des cabinets médicaux ont consacré moins de 5 000 USD à la mise en place de leur cabinet hybride ou à distance. Parmi les exemples courants de cybersécurité dans le secteur de la santé figurent l'adoption d'un plus grand nombre de réseaux privés virtuels (VPN) et la migration de certaines applications (mais pas de toutes les fonctions de sécurité) vers le cloud.
Ces solutions à court terme rendent toutefois les organismes de santé plus vulnérables aux cyberattaques. Pour ceux qui continuent à adopter le modèle de travail hybride et ses avantages (notamment l'amélioration du moral du personnel, la réduction de l'épuisement et l'augmentation de la productivité), une stratégie de sécurité à long terme s'impose.
Parmi les principaux risques liés au « travail hybride » pour les professionnels de la santé en télétravail, citons les trois suivants : la dépendance aux VPN, le phishing multicanal et l'informatique fantôme (Shadow IT). Vous trouverez ci-dessous une approche plus durable de la manière dont un modèle Zero Trust permet de répondre à ces risques.
Inconvénients des VPN
Traditionnellement, les organismes de santé se sont appuyés sur le modèle de sécurité du « château entouré de douves », qui se concentre sur la protection du périmètre du réseau. Dans un contexte de travail hybride, cela implique l'utilisation de VPN et de logiciels de bureau à distance pour vérifier les identifiants des utilisateurs distants et chiffrer le trafic entre les utilisateurs et les diverses applications ou appareils dans l'environnement central de l'entreprise.
Toutefois, les risques liés au VPN, tels que les vulnérabilités zero-day au sein de certains produits Ivanti et Palo Alto Networks, ainsi que les tentatives de connexion par force brute contre les solutions VPN de Cisco, illustrent les défauts inhérents de l'approche périmétrique. L'accès par VPN est :
Trop risqué : comme l'illustrent les failles zero-day trouvées dans plusieurs VPN (plus d'exemples ici et ici), la sécurité des VPN est peu fiable. L'accès au niveau du réseau et la confiance par défaut accordée par les VPN invitent également à la possibilité de mouvements latéraux.
Trop lent : l'accès dépendant de la position géographique de l'utilisateur, de son appareil, de son rôle et de son fournisseur d'identité, l'utilisateur du VPN peut constater de la latence.
Trop inefficace : les VPN peuvent ralentir l'intégration des utilisateurs, retarder le déploiement de nouvelles applications et faire perdre un temps informatique précieux en cas de défaillance de ces derniers.
Il est compréhensible que les organismes de santé, confrontés à des vents contraires sans précédent sur le plan financier et à des pénuries de personnel informatique, se soient d'abord tournés vers les VPN pendant la pandémie. Cependant, il est plus évident que les VPN (qui ont été conçus pour permettre des connexions à court terme par un petit nombre de systèmes) ne sont pas viables dans un contexte d'étendue croissante du télétravail dans le secteur de la santé.
L'approche la plus efficace et la plus durable est celle de la sécurité Zero Trust. Contrairement aux VPN peu sûrs, les services Zero Trust exigent une vérification stricte de l'identité de chaque personne et de chaque appareil tentant d'accéder aux ressources d'un réseau privé, indépendamment de la position géographique.
Les technologies Zero Trust permettent, par exemple, aux organismes de santé de :
Procéder pour chaque requête d'accès à une application à une vérification allant au-delà de la simple identité : la géolocalisation, le niveau de sécurité des appareils, les normes de sécurité de l'entreprise, l'évaluation des risques/de la confiance et d'autres facteurs sont pris en compte avant d'accorder l'accès à une ressource.
Inspecter et filtrer l'ensemble du trafic Internet des employés : quel que soit l'endroit où les employés travaillent, leur navigation sur Internet est vulnérable au phishing, aux logiciels malveillants, aux rançongiciels et à d'autres attaques. Contrairement à un VPN, le modèle Zero Trust offre la possibilité de bloquer les attaques basées sur le navigateur. Il peut également empêcher les employés de consulter des sites web suspects ou d'interagir avec ceux-ci.
Attaque par phishing
Selon une étude des violations de données liées au secteur de la santé réalisée de 2015 à 2020, les opérations de phishing, plus que tout autre raison, sont à l'origine du plus grand nombre de compromissions de dossiers médicaux.
Le phishing, par exemple, a été à l'origine d'une attaque par rançongiciel contre le réseau de santé de l'Université du Vermont (UVM). Tout a commencé lorsqu'un employé en déplacement a utilisé son ordinateur portable professionnel pour consulter ses e-mails personnels. Un e-mail, qui semblait provenir de l'association des propriétaires de l'employé, a lancé un logiciel malveillant qui a permis aux pirates d'effectuer des mouvements latéraux pour accéder aux systèmes de l'UVM Health Network. L'attaque a perturbé les opérations pendant des semaines : des centaines de collaborateurs ont été incapables de travailler ; les interventions attendues par les patients ont été retardées ; et l'organisation a subi plus de 63 millions de dollars de pertes.
Le phishing par compromission du courrier électronique professionnel (Business Email Compromise, BEC) hautement ciblé et sans logiciel malveillant progresse également. En juin 2024, le FBI et le département américain de la Santé et des Services humains ont émis un avertissement concernant des acteurs malveillants qui parvenaient à accéder aux comptes de messagerie d'employés du secteur de la santé, puis à utiliser ces informations de connexion pour détourner des paiements d'assurance.
Pour les effectifs modernes, le travail et les données ne passent pas uniquement par les e-mails. Ainsi, les SMS (messages texte) et les applications de messagerie publique et privée sont des vecteurs d'attaque qui profitent de la possibilité d'envoyer des liens via ces canaux, ainsi que de la manière dont les personnes consomment des informations et travaillent. Les acteurs malveillants ciblent également la collaboration dans le cloud, utilisant des outils tels que Google Workspace, Atlassian et Microsoft Office 365 pour transmettre des liens et des fichiers ou effectuer de attaques par phishing de type BEC. Enfin, les phishing web et social ciblent les utilisateurs de plateformes telles que LinkedIn et d'autres plateformes.
Pour prévenir de telles attaques « multicanales », les prestataires de santé peuvent suivre une approche multicouche qui protège tout d'abord les e-mails, puis élargit le modèle Zero Trust à l'ensemble du trafic basé sur le web.
En adoptant une approche Zero Trust pour lutter contre le phishing, les organisations peuvent :
Isoler automatiquement les liens suspects contenus dans les e-mails et empêcher les appareils des collaborateurs d'être exposés à du contenu web malveillant
Limiter les interactions des utilisateurs avec les sites web suspects et empêcher les scripts malveillants intégrés aux pages web de s'exécuter localement sur l'appareil de l'instance Workers
Bloquer l'accès immédiat aux sites à haut risque (tels que les sites déjà connus pour leur implication dans du phishing)
Limiter les contenus pouvant être importés, saisis ou copiés et collés dans des applications tierces ; il est également possible d'empêcher les instances Workers d'importer des données propriétaires vers des outils d'IA générative tiers
Risques d'informatique fantôme (Shadow IT)
Les environnements de travail hybrides augmentent le risque « d'informatique fantôme (Shadow IT) », c'est-à-dire l'utilisation non autorisée de logiciels, de matériel ou d'autres systèmes. Selon une enquête réalisée en 2024, la majorité (81 %) des responsables informatiques des systèmes de santé américains déclarent avoir acheté des logiciels d'informatique fantôme (Shadow IT ). De même, près de la moitié (48 %) des personnes interrogées n'ont fait aucun audit des logiciels de leur entreprise au cours de l'année écoulée.
L'informatique fantôme (Shadow IT) est une menace particulièrement grave pour les organismes de santé. Il compromet la capacité des services informatiques à sécuriser et à surveiller les systèmes essentiels, ce qui met en péril la sécurité des données des patients. Les applications SaaS non autorisées, par exemple, rendent pratiquement impossible la vérification de la conformité des informations médicales protégées (PHI) à la loi HIPAA, et augmentent le risque d'exploitations de vulnérabilités zero-day et de violations de données.
Les organisations doivent-elles passer en revue les problèmes potentiels utilisateur par utilisateur, fichier par fichier, application SaaS par application SaaS ? Pour la plupart des organisations, c'est irréaliste.
Pour faire reculer l'utilisation d'applications non autorisées, mettez en place une formation continue à la gestion des risques pour les employés, ainsi qu'une culture « exempte de toute recherche de responsabilité » (pour ceux qui ont déjà eu recours à l'informatique fantôme (Shadow IT)).
Ces solutions doivent également être complétées par des contrôles techniques Zero Trust qui :
Offrent de la visibilité sur les applications SaaS et les serveurs d'origine du réseau sur lequel le personnel travaille. Ensuite, les organisations peuvent créer des politiques pour autoriser, restreindre ou bloquer l'utilisation de l'informatique fantôme (Shadow IT) selon les besoins
Protègent les applications SaaS et les autres services hébergés dans le cloud en les analysant en permanence à la recherche de fichiers exposés, d'activités suspectes et d'erreurs de configuration (une cause courante de violations de données)
Réduisent l'exposition des données par la détection et le blocage des utilisateurs qui tentent de partager des données sensibles via le cloud, les applications, les e-mails et les appareils
Simplifier la sécurité du travail hybride avec le cloud de connectivité
Les services Zero Trust de Cloudflare consolident un grand nombre de services technologiques autrefois distincts afin de faciliter la sécurisation de n'importe quelle connexion et de préserver la sécurité et la productivité des collaborateurs utilisant Internet, les applications et l'infrastructure, sur n'importe quel appareil. Tous les services sont fournis par un cloud de connectivité, une plateforme unifiée et intelligente regroupant des services cloud-native qui simplifie la sécurisation de la connectivité point à point sur l'ensemble des environnements informatiques.
Grâce au cloud de connectivité de Cloudflare, les prestataires de santé sécurisent les données des patients, offrent une expérience technologique fluide aux praticiens et proposent des soins virtuels de qualité supérieure ; le tout avec davantage d'agilité et de contrôle.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Conclusions essentielles
Cet article vous permettra de mieux comprendre les aspects suivants :
Trois risques majeurspour la cybersécurité des professionnels de la santé en télétravail
Les inconvénients des VPN pour les effectifs décentralisés
Les avantages de l'application d'un modèle Zero Trust dans le secteur de la santé, pour un accès à distance sécurisé
Ressources associées
Approfondir le sujet
Découvrez comment combler les lacunes en matière de sécurité qui entravent l'innovation dans le secteur de la santé grâce à l'e-book Moderniser la cybersécurité des prestataires de santé.