Sécurité des données de santé : le shadow IT engendré par les employés est un risque non négligeable – Skyhigh Networks

Best Internet Concept of global business.Technological background. Electronics, Wi-Fi, rays, symbols of the Internet, television, mobile and satellite communications

Les organisations du secteur de la santé, ont comme beaucoup d’autres secteurs, massivement adopté les services cloud pour réduire les coûts informatiques, augmenter la productivité des employés et améliorer les prestations aux patients. Mais si les technologies sont en train de changer la façon dont les soins de santé sont délivrés, l’importance des données du patient n’a pas changé. De nombreuses réglementations garantissent que les renseignements médicaux soient protégés et ce, même si ces informations migrent vers le cloud. Les organismes de santé prennent particulièrement soin d’évaluer la sécurité et la conformité des services cloud qu’ils utilisent, mais les employés peuvent aussi introduire des services cloud dans le lieu de travail, souvent à l’insu et de leur hiérarchie et du service informatique. C’est ce que l’on appelle le « shadow IT », qui sont des services utilisés et non connus du service informatique. Pour mieux comprendre ces tendances et les risques liés à l’adoption du cloud dans le secteur de la santé, Skyhigh Networks a publié une étude intitulée « Cloud Adoption & Risk in Healthcare ».

Ce qui rend ce rapport unique est qu’il est basé sur des données réelles d’utilisation de plus d’1,6 millions d’employés travaillant pour des entreprises et prestataires du secteur de la santé. Cette étude a permis d’examiner l’incidence du shadow IT sur ces organisations et mis en exergue les menaces liées aux services cloud.

Parmi les principales statistiques :

  • On retrouve en moyenne 928 services Cloud au sein des organisations de santé et parmi ceux-ci, 868 ont été déployés à l’insu du service IT -> forte utilisation du shadow IT
  • Une entreprise du secteur santé stocke en moyenne 6,8 To de données dans le cloud chaque mois et parfois sans contrôles appropriés (ce qui est généralement le cas quand on parle de shadow IT) -> un risque pèse sur ces données
  • Les services Cloud les plus déployés dans le secteur de la santé sont des outils collaboratifs (188), de développement (52), de partage de contenus (37) et de fichiers (31)
  • Seuls 7 % des services Cloud observés répondent aux impératifs de sécurité et de conformité tels que défini dans le CloudTrust Program de Skyhigh Networks
  • 14,5 % possèdent une authentification multi-facteurs, 2,8 % sont certifiés ISO 27001 et 9,4 % chiffrent les données archivées en ligne
  • 53 % des organisations de santé ont déclaré avoir rencontré un incident de type Insider Threat en 2014. Pourtant les audits menés par Skyhigh Networks en partenariat avec la Cloud Security Alliance ont relevé des comportements anormaux de type insider Threats dans 79 % des entreprises (au court d’un seul trimestre)

« Les données de santé qui contiennent des numéros de sécurité sociale et des adresses valent environ 20 fois plus qu’un numéro de carte de crédit sur le marché noir car les cybercriminels peuvent exploiter ces informations pour ouvrir plusieurs comptes frauduleux. Les données relatives à des malades en phase terminale valent encore plus car malheureusement, il est peu probable que le patient ou sa famille détectent la fraude rapidement. Prenons l’exemple d’un employé d’hôpital qui vend ce type d’informations. Dans de nombreux cas, une organisation de santé n’a aucun moyen de détecter un comportement inapproprié des utilisateurs, qu’il soit intentionnel ou non. Comme la plupart des organisations se préoccupent principalement de surveiller les profils haut placés (cadres dirigeants, comptes à privilèges, etc.), elles sous-estiment encore beaucoup les menaces internes. » – Joël Mollo, directeur Europe du Sud de Skyhigh Networks.

Related Topics
Author
By
@coesteve1
Related Posts

Readers Comments


Add Your Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

In The News

Sécurité des données de santé : le shadow IT engendré par les employés est un risque non négligeable – Skyhigh Networks

Best Internet Concept of global business.Technological background. Electronics, Wi-Fi, rays, symbols of the Internet, television, mobile and satellite communications 26th mai, 2016

Les organisations du secteur de la santé, ont comme beaucoup d’autres secteurs, massivement adopté les services cloud pour réduire les coûts informatiques, augmenter la productivité des employés et améliorer les prestations aux patients. Mais si les technologies sont en train de changer la façon dont les soins de santé sont délivrés, l’importance des données du patient n’a pas changé. De nombreuses réglementations garantissent que les renseignements médicaux soient protégés et ce, même si ces informations migrent vers le cloud. Les organismes de santé prennent particulièrement soin d’évaluer la sécurité et la conformité des services cloud qu’ils utilisent, mais les employés peuvent aussi introduire des services cloud dans le lieu de travail, souvent à l’insu et de leur hiérarchie et du service informatique. C’est ce que l’on appelle le « shadow IT », qui sont des services utilisés et non connus du service informatique. Pour mieux comprendre ces tendances et les risques liés à l’adoption du cloud dans le secteur de la santé, Skyhigh Networks a publié une étude intitulée « Cloud Adoption & Risk in Healthcare ».

Ce qui rend ce rapport unique est qu’il est basé sur des données réelles d’utilisation de plus d’1,6 millions d’employés travaillant pour des entreprises et prestataires du secteur de la santé. Cette étude a permis d’examiner l’incidence du shadow IT sur ces organisations et mis en exergue les menaces liées aux services cloud.

Parmi les principales statistiques :

  • On retrouve en moyenne 928 services Cloud au sein des organisations de santé et parmi ceux-ci, 868 ont été déployés à l’insu du service IT -> forte utilisation du shadow IT
  • Une entreprise du secteur santé stocke en moyenne 6,8 To de données dans le cloud chaque mois et parfois sans contrôles appropriés (ce qui est généralement le cas quand on parle de shadow IT) -> un risque pèse sur ces données
  • Les services Cloud les plus déployés dans le secteur de la santé sont des outils collaboratifs (188), de développement (52), de partage de contenus (37) et de fichiers (31)
  • Seuls 7 % des services Cloud observés répondent aux impératifs de sécurité et de conformité tels que défini dans le CloudTrust Program de Skyhigh Networks
  • 14,5 % possèdent une authentification multi-facteurs, 2,8 % sont certifiés ISO 27001 et 9,4 % chiffrent les données archivées en ligne
  • 53 % des organisations de santé ont déclaré avoir rencontré un incident de type Insider Threat en 2014. Pourtant les audits menés par Skyhigh Networks en partenariat avec la Cloud Security Alliance ont relevé des comportements anormaux de type insider Threats dans 79 % des entreprises (au court d’un seul trimestre)

« Les données de santé qui contiennent des numéros de sécurité sociale et des adresses valent environ 20 fois plus qu’un numéro de carte de crédit sur le marché noir car les cybercriminels peuvent exploiter ces informations pour ouvrir plusieurs comptes frauduleux. Les données relatives à des malades en phase terminale valent encore plus car malheureusement, il est peu probable que le patient ou sa famille détectent la fraude rapidement. Prenons l’exemple d’un employé d’hôpital qui vend ce type d’informations. Dans de nombreux cas, une organisation de santé n’a aucun moyen de détecter un comportement inapproprié des utilisateurs, qu’il soit intentionnel ou non. Comme la plupart des organisations se préoccupent principalement de surveiller les profils haut placés (cadres dirigeants, comptes à privilèges, etc.), elles sous-estiment encore beaucoup les menaces internes. » – Joël Mollo, directeur Europe du Sud de Skyhigh Networks.

By
@coesteve1
backtotop