[Etats-Unis] Analyse des causes de fuites de données de santé

Une étude sur les fuites de données de santé déclarées aux Etats-Unis au cours des 12 derniers mois a été réalisée par le Clearwater Cyberintelligence Institute, de la société américaine Clearwater Compliance. Cette entreprise est spécialisée dans la cybersécurité des établissements de santé et propose des services allant de l’analyse de risques à la réponse à incident.  Ces fuites de données concernent plus de 9 millions d'individus.

Bien que les attaques de hameçonnage à destination des établissements de santé soient très répandues, l'étude met en exergue que 54% des cas des fuites de données de plus de 500 dossiers sont liées à l'exploitation de failles sur des serveurs vulnérables.

Ces serveurs, qui hébergent des logiciels essentiels au bon fonctionnement des structures de santé et des bases de données, constituent des cibles idéales pour des attaquants. Le nombre important de fuites de données identifiées le confirme.

D'après Clearwater Cyberintelligence Institute , la faille de sécurité la plus communément exploitée à l’origine de ces fuites de données est la mauvaise gestion des comptes utilisateurs. En effet, les comptes inutilisés de collaborateurs ayant quitté un établissement de santé représentent un risque majeur. Ces comptes,  qui devraient normalement être désactivés au départ de collaborateurs, sont trop souvent laissés activés et parfois utilisés par des attaquants pour compromettre des données.

L’étude montre que le risque augmente avec le nombre de comptes inutilisés restant activés, ainsi qu'avec la durée de leur inactivité.

Clearwater Cyberintelligence Institute recommande des revues fréquentes des comptes utilisateurs, pour s'assurer de la légitimité de tous les comptes laissés actifs. Elle invite également à mettre en place des procédures automatiques en lien avec le département des ressources humaines, qui par exemple peuvent déclencher la désactivation automatique d'un compte 48h après le départ d'un collaborateur.

De plus, la mauvaise gestion des privilèges accordés aux comptes utilisateurs, notamment ceux disposant de privilèges trop élevés, est une autre vulnérabilité importante qui concerne les serveurs. Un attaquant ayant compromis un compte trop privilégié peut ensuite accéder, altérer ou même supprimer des données personnelles et/ou confidentielles.

Ce risque, comme le précédent, peut être anticipé en effectuant des revues régulières des privilèges accordés aux utilisateurs, ainsi que des analyses de journaux systèmes pour détecter des incohérences ou des écarts avec les politiques en place.

Ce genre de revue devrait être conduite tous les trimestres pour les établissements de plus de 100 employés, d'après Clearwater Cyberintelligence Institute.