in

Sécurité des données de santé : le shadow IT engendré par les employés est un risque non négligeable – Skyhigh Networks

Les organisations du secteur de la santé, ont comme beaucoup d’autres secteurs, massivement adopté les services cloud pour réduire les coûts informatiques, augmenter la productivité des employés et améliorer les prestations aux patients. Mais si les technologies sont en train de changer la façon dont les soins de santé sont délivrés, l’importance des données du patient n’a pas changé. De nombreuses réglementations garantissent que les renseignements médicaux soient protégés et ce, même si ces informations migrent vers le cloud. Les organismes de santé prennent particulièrement soin d’évaluer la sécurité et la conformité des services cloud qu’ils utilisent, mais les employés peuvent aussi introduire des services cloud dans le lieu de travail, souvent à l’insu et de leur hiérarchie et du service informatique. C’est ce que l’on appelle le « shadow IT », qui sont des services utilisés et non connus du service informatique. Pour mieux comprendre ces tendances et les risques liés à l’adoption du cloud dans le secteur de la santé, Skyhigh Networks a publié une étude intitulée « Cloud Adoption & Risk in Healthcare ».

Ce qui rend ce rapport unique est qu’il est basé sur des données réelles d’utilisation de plus d’1,6 millions d’employés travaillant pour des entreprises et prestataires du secteur de la santé. Cette étude a permis d’examiner l’incidence du shadow IT sur ces organisations et mis en exergue les menaces liées aux services cloud.

Parmi les principales statistiques :

  • On retrouve en moyenne 928 services Cloud au sein des organisations de santé et parmi ceux-ci, 868 ont été déployés à l’insu du service IT -> forte utilisation du shadow IT
  • Une entreprise du secteur santé stocke en moyenne 6,8 To de données dans le cloud chaque mois et parfois sans contrôles appropriés (ce qui est généralement le cas quand on parle de shadow IT) -> un risque pèse sur ces données
  • Les services Cloud les plus déployés dans le secteur de la santé sont des outils collaboratifs (188), de développement (52), de partage de contenus (37) et de fichiers (31)
  • Seuls 7 % des services Cloud observés répondent aux impératifs de sécurité et de conformité tels que défini dans le CloudTrust Program de Skyhigh Networks
  • 14,5 % possèdent une authentification multi-facteurs, 2,8 % sont certifiés ISO 27001 et 9,4 % chiffrent les données archivées en ligne
  • 53 % des organisations de santé ont déclaré avoir rencontré un incident de type Insider Threat en 2014. Pourtant les audits menés par Skyhigh Networks en partenariat avec la Cloud Security Alliance ont relevé des comportements anormaux de type insider Threats dans 79 % des entreprises (au court d’un seul trimestre)

« Les données de santé qui contiennent des numéros de sécurité sociale et des adresses valent environ 20 fois plus qu’un numéro de carte de crédit sur le marché noir car les cybercriminels peuvent exploiter ces informations pour ouvrir plusieurs comptes frauduleux. Les données relatives à des malades en phase terminale valent encore plus car malheureusement, il est peu probable que le patient ou sa famille détectent la fraude rapidement. Prenons l’exemple d’un employé d’hôpital qui vend ce type d’informations. Dans de nombreux cas, une organisation de santé n’a aucun moyen de détecter un comportement inapproprié des utilisateurs, qu’il soit intentionnel ou non. Comme la plupart des organisations se préoccupent principalement de surveiller les profils haut placés (cadres dirigeants, comptes à privilèges, etc.), elles sous-estiment encore beaucoup les menaces internes. » – Joël Mollo, directeur Europe du Sud de Skyhigh Networks.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.