Un rapport révèle que, parmi 618 organismes de santé interrogés, seuls 29 % d’entre eux disposeraient d’un programme efficient de cybersécurité

Le College of Healthcare Information Management Executives (CHIME) est une organisation professionnelle de la sécurité basée aux Etats-Unis et composée d’acteurs internationaux du secteur de la santé. L’institut vient de publier en novembre 2018 les résultats d’une enquête faisant état de la sécurité de 618 organismes participants. Ils révèlent ainsi que seulement 26 %  des organisations disposent d’un programme efficient couvrant l’ensemble des dix thématiques clés  43 % sept à neuf et 31 % d’entre elles moins de sept.

Les dix piliers du programme retenus par le CHIME se focalisent sur les sujets suivants :

  • la procédure prévue en cas d’indisponibilité du dossier médical patient,
  • les procédures relatives aux signalements d’incidents et à la notification en cas de violation de données à caractère personnel,
  • les exercices annuels prévus en cas d’incident ou de sinistre lié au plan de continuité des activités,
  • la communication entre les équipes métier et support, et leur participation à la procédure interne.

L’étude révèle également que lorsque les organismes intègrent l’ensemble de ces sujets dans leur programme, elles seraient plus susceptibles que les autres à mettre en œuvre  certaines mesures de sécurité. Elles sont en effet sujettes à se protéger davantage contre la perte définitive de leur données (12 %), d’implémenter une gestion du BYOD (13 %), de surveiller l’activité des bases de données (13 %), de prendre en charge la gestion des logs (16 %) ou encore de mettre en œuvre une authentification couvrant le risque identifié (16 %).

Concernant la communication entre les équipes métier et support, et leur participation à la procédure interne, l’enquête indique que seules 31 % des organisations ne disposant pas d’un programme efficient font un compte-rendu de la gestion de la sécurité de leur structure à leurs organes de direction. Lorsque cette information est communiquée, les personnes concernées sont informées dans la plupart des cas. Ainsi, 95 % de ces organisations communiquent au conseil d’administration sur leurs lacunes de sécurité et 94 % leur progrès réalisés, alors que 90 % le font directement auprès du RSSI et 79 % auprès d’un comité dédié à la cybersécurité. Cependant, si quasiment l’ensemble des organismes interrogés partagent les informations relatives aux cybermenaces, moins de 30 % d’entre elles le partagent avec leurs instances gourvernementales.

Parmi les manquements à certains standards de sécurité identifiés dans le rapport, certains des organismes interrogés reconnaissent ne pas disposer du tout d’une gestion de leur flotte mobile (10%), même si la quasi-totalité des organisations a reconnu avoir sécurisé leurs téléphones à l’aide d’un mot de passe. En revanche, 12 % conviennent ne pas disposer d'un identifiant d’utilisateur unique ou même d’un verrouillage physique pour leurs appareils. 14 % des organismes admettent par ailleurs ne pas chiffrer le contenu de leurs supports amovibles et 18 % ne pas chiffrer la sauvegarde de leur données.

Enfin, pour ce qui est de la reprise d’activité après sinistre, 68 % des organismes ont estimé que même en cas de perte totale de leurs données hébergés leurs serveurs principaux, une restauration serait en revanche possible sous 24 heures, pour l’ensemble de leurs services. Le rapport révèle sur ce point que toutes les organisations disposent de procédures de sauvegarde des données, que ce soit une sauvegarde hors site (90 %), une solution de sauvegarde redondante (78 %) ou d’une plateforme en ligne pour leurs données de santé (63 %).

Le rapport CHIME HealthCare Most Wired de 2018 est disponible à cette adresse.