Le secteur de la santé intéresse de près les cybercriminels, et la tendance n’est pas neuve : au cours des dernières années, plusieurs hôpitaux ont ainsi été visés par des attaques de ransomware, mais le vol de données de santé est également une manne financière non négligeable pour les cybercriminels.
Kaspersky s’est donc penché sur les habitudes de sécurité des professionnels du secteur de la santé et en a tiré une étude faisant le point sur les pratiques du secteur. Premier constat plutôt rassurant : 70 % des professionnels du secteur de la santé se sentent « concernés par les questions de cybersécurité ». Mais de là à agir concrètement, il y a un pas que tous ne franchissent pas : l’étude de Kaspersky révèle ainsi que seuls « 20% des sondés déclarent utiliser une solution de sécurité sur tous les appareils qu’ils utilisent dans le cadre professionnel. »
Les professionnels du secteur ont d’ailleurs une forte tendance à utiliser des appareils et logiciels grand public pour travailler et communiquer des informations à leurs patients : ainsi, la plupart des professionnels déclarent préférer leur smartphone (49 %) ou leur ordinateur portable (29 %) pour manipuler les données de santé, et l’email (33 %) ou le SMS (27 %) pour la communication et le partage d’information avec les patients.
Pas l’envie qui manque, mais tout le reste
Le chiffrement n’est pas rentré dans les habitudes des professionnels du secteur : seuls 7 % utilisent une solution de chiffrement des emails ou des messages et seuls 5 % utilisent un outil de chiffrement des données stockées.
Comme souvent, le fait d’avoir été victime d’une attaque informatique change les habitudes :au total 10 % des sondés déclarent avoir été victimes d’une fuite de données au cours des derniers mois. Et « ces incidents motivent l’adoption du chiffrement, utilisé par 17 % des répondants ayant subi un incident de sécurité, contre seulement 4 % chez les autres » selon Kaspersky. Le problème semble tenir à plusieurs aspects : d’une part le manque de sensibilisation des professionnels du secteur à ces aspects (32 % des sondés déclarent manquer d’information à ce sujet) et d’autre part le manque de ressources financières à consacrer à ces aspects, cité par 17 % des sondés.
En France, les hébergeurs de données de santé doivent disposer d’une certification délivrée par un organisme certificateur accrédité par le COFRAC. Cette nouvelle procédure de certification mise en œuvre depuis avril 2018 permet aux professionnels de santé de se tourner vers des prestataires offrant un certain niveau de confiance, mais ne se substitue pas à la mise en œuvre d’une véritable politique de sécurité.
Comments