in

La sécurité des applications, un enjeu de taille dans le secteur de la santé – Nabil Bousselham, architecte de solutions chez Veracode

Aujourd’hui, la plupart des patients se rendent régulièrement chez leur médecin afin de soigner immédiatement ou préventivement des problèmes mineurs avant qu’ils ne deviennent des problèmes médicaux complexes.

Pourquoi les entreprises du secteur de la santé ne sont-elles pas plus nombreuses aujourd’hui à agir ainsi, en procédant à des tests de sécurité réguliers pour prévenir les infractions et renforcer la sécurité des informations sur les patients ?

En matière de cybersécurité dans le domaine de la santé, less isn’t more !

Trop souvent, les mesures correctives ne sont prises qu’après coup, les développeurs s’efforçant de combler les lacunes de leurs systèmes après une intrusion. Pourtant, des actions préventives en matière de sécurité pourraient être autant efficaces que lorsqu’il s’agit de notre santé.

En effet, plusieurs experts et leaders d’opinion de l’industrie considèrent les failles de sécurité comme des occasions de mieux comprendre ce qui a mal tourné et comment le prévenir à l’avenir.

Malheureusement, certaines procédures de sécurité renforcées peuvent provoquer de la panique de la part des utilisateurs. Par ailleurs, de trop nombreuses procédures de mise à jour des systèmes informatiques ou des procédures d’authentification à deux facteurs par exemple peuvent ralentir le travail des professionnels de santé, et parfois retarder l’accès aux soins pour les patients.

L’épidémie de cyberattaques dans les soins de santé

Pourtant, les données de la dernière décennie montrent à quel point les infractions peuvent être préjudiciables aux institutions et aux patients. Deux ans après la mise en place du dispositif d’accompagnement cybersécurité des structures de santé (ACSS) fin 2017, 693 incidents avaient été déclarés par les structures sanitaires. Ces chiffres sont alarmants.

La sécurité des applications, un enjeu de taille pour le secteur de la santé

Dans le 10e rapport annuel sur l’état de la sécurité des logiciels (SOSS) qui examine les tendances dans divers secteurs dont celui de la santé, on pouvait remarquer que les établissements de santé ont la plus forte prédominance de failles graves, soit 52 %. Par ailleurs, ils sont les plus lents à corriger ces failles, avec une durée de remédiation moyenne de 131 jours, contribuant à la dette de sécurité – les failles de sécurité identifiées mais non résolues.

Pourtant, on sait que la dette de sécurité peut être résolue en mettant en place les bons processus, notamment une cadence régulière de scans. En effet, le rapport SOSS a montré que les entreprises qui effectuent jusqu’à 12 scans par an ont un délai moyen de correction de 68 jours, contre 19 jours seulement pour ceux qui effectuent plus de 260 scanners par an (soit une réduction substantielle de 72 % du temps de remédiation). Le rapport établit également que les scans fréquents entraînent 5x moins de dettes de sécurité que les scanners sporadiques qui ne disposent pas d’un processus de test fiable.

Prendre des mesures de sécurité préventives permet à la fois de renforcer son système contre les attaques, mais met également en lumière les aspects du processus de remédiation qui doivent être revus. Ce sont ces mêmes mesures qui protégeront les organismes de santé en cas de brèche ou de cyberattaque, et permettront au secteur de traiter les problèmes au plus tôt de sorte à ce que l’impact soit minime, voire nul, sur les soins aux patients.

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.