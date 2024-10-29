Une violation de données chez le prestataire médical virtuel Confidant Health a mis en évidence la grande différence entre les données personnelles d’une part et les données sensibles d’autre part.
L’histoire a commencé lorsque le chercheur en sécurité Jeremiah Fowler a découvert une base de données non sécurisée contenant 5,3 téraoctets de données exposées liées à Confidant Health. L’entreprise propose une aide à la lutte contre la dépendance et des traitements de santé mentale dans le Connecticut, la Floride, le Texas et d’autres États.
La faille, d’abord signalée par WIRED, concernait des données personnelles, telles que les noms et adresses des patients, mais aussi des données sensibles telles que des enregistrements audio et vidéo des séances de thérapie, des notes d’admission psychiatrique détaillées et des antécédents médicaux complets.
L’article montrait à quel point certaines informations étaient terriblement compromettantes : « Un dossier d’admission en psychiatrie de sept pages... détaille les problèmes liés à l’alcool et à d’autres substances, y compris la façon dont le patient prétend avoir pris... des narcotiques provenant de l’hospice de ses grands-parents avant le décès d’un membre de sa famille, selon l’article. Dans un autre document, une mère décrit la relation conflictuelle entre son mari et son fils, notamment le fait que ce dernier, qui consommait des stimulants, a accusé son partenaire d’abus sexuel. »
Le rapport 2024 d’IBM sur le coût d’une violation de données souligne que 46 % des violations concernaient les données personnelles des clients. Le rapport fait également état d’une augmentation significative du coût par enregistrement pour les données de propriété intellectuelle (PI), passant de 156 dollars à 173 dollars.
Mais le niveau d’exposition lié à l’incident de Confidant Health représente une augmentation significative des dommages potentiels pour les personnes touchées, dépassant de loin les risques associés à de simples violations des données personnelles.
Les cyberattaquants et les acteurs malveillants valorisent les données sensibles, y compris les données médicales, car elles peuvent être utilisées pour lancer des attaques d’ingénierie sociale, du chantage ciblé ou même la vente à des concurrents ou adversaires non éthiques. La nature sensible des informations est précisément ce qui les rend précieuses en cas d’exploitation malveillante.
En clair, l’exposition de données sensibles telles que les données médicales constitue un risque non seulement pour la victime, mais aussi pour son employeur. Les données peuvent être utilisées pour faire chanter l’employé afin qu’il fournisse des mots de passe et d’autres données susceptibles d’aider l’attaquant à pénétrer dans l’entreprise de l’employé.
Les vecteurs d’attaque potentiels incluent :
La récente faille est un brutal rappel de la nécessité de mettre en place de solides mesures de protection des données, en particulier dans les établissements de santé. Les clés ? L’exhaustivité et une vigilance constante.
La protection des données sensibles dans le secteur des soins de santé et dans d’autres contextes exige une approche globale.
Il est crucial de mettre en place des contrôles d’accès et une authentification robustes. Cela inclut le déploiement de l’authentification multifacteur pour tous les comptes utilisateur et la mise en place de contrôles d’accès basés sur les rôles afin de limiter l’accès aux données en fonction des postes. (Des audits et examens réguliers des autorisations des utilisateurs doivent être réalisés pour assurer une gestion appropriée des accès.)
Le chiffrement joue un rôle essentiel dans la protection des données sensibles. Il est essentiel de chiffrer les données au repos et en transit, en utilisant le chiffrement de bout en bout pour toutes les communications et les transferts de données. Le chiffrement des appareils doit être mis en place pour les appareils mobiles et les ordinateurs portables afin de protéger les données en cas de perte ou de vol.
La sécurité du réseau est un autre aspect critique de la protection des données. Déployer des pare-feux de nouvelle génération et des systèmes de détection/prévention des intrusions permet de se défendre contre les menaces extérieures. La segmentation réseau peut isoler les données sensibles, tandis que les réseaux privés virtuels offrent un accès à distance sécurisé.
Les mesures de protection des données doivent inclure la mise en œuvre de solutions de prévention des pertes de données pour surveiller et contrôler les mouvements de données. Le masquage et la tokenisation des données peuvent servir à protéger les données sensibles, tout comme les sauvegardes régulières avec des procédures de restauration testées qui garantissent la disponibilité des données en cas d’incident.
La sécurité des points de terminaison est importante pour se protéger contre les logiciels malveillants et d’autres menaces. Maintenez à jour les logiciels antivirus et anti-logiciel malveillant, mettez en œuvre des solutions de détection et réponse des terminaux et recourez à la gestion des appareils mobiles pour les appareils appartenant à l’entreprise.
D’un point de vue organisationnel, il est fondamental d’élaborer et d’appliquer des politiques globales de protection des données. Cela inclut la mise en œuvre d’un plan de réponse aux incidents officiel et la mise en place de procédures claires de conservation et de destruction des données. Des formations régulières de sensibilisation pour tous les employés, ainsi qu’une formation spécialisée pour les personnes qui manipulent des données sensibles, contribuent à promouvoir une culture de sensibilisation à la sécurité au sein de l’entreprise.
La gestion des risques est un processus continu qui implique des évaluations régulières des risques et des analyses de vulnérabilité. Un programme officiel de gestion des risques doit être mis en place, avec des mises à jour et des correctifs régulièrement appliqués à tous les systèmes et logiciels.
La gestion des risques liés aux tiers est tout aussi importante. Elle implique la mise en place de procédures strictes de gestion des risques fournisseurs, la garantie que tous les contrats tiers incluent des clauses de protection des données et l’audit régulier des pratiques d’accès et de gestion des données par des tiers.
La conformité et l’audit sont des composants critiques d’un programme de sécurité robuste. Les entreprises doivent respecter les réglementations pertinentes en matière de santé, telles que la loi HIPAA. Des audits de sécurité internes et externes doivent être effectués régulièrement et des registres détaillés de tous les accès aux données et de toutes les activités du système doivent être conservés.
La gouvernance des données est essentielle pour une protection efficace des données. Il s’agit notamment de mettre en œuvre un système officiel de classification des données, d’établir des rôles de propriété et de gestion des données et d’inventorier et de cartographier régulièrement toutes les données sensibles.
Les capacités de réponse et de récupération après incident sont cruciales pour minimiser l’impact des failles de sécurité. Les entreprises doivent élaborer et tester régulièrement un plan de réponse aux incidents, constituer une équipe dédiée à la réponse aux incidents et mettre en œuvre des capacités automatisées de détection et de réponse aux menaces.
Les mesures de sécurité physiques ne doivent pas être négligées. Sécuriser l’accès physique aux centres de données et aux zones sensibles, mettre en œuvre des procédures appropriées d’élimination des supports physiques et utiliser des systèmes de surveillance et de contrôle d’accès dans les zones critiques sont autant d’aspects importants d’une stratégie de sécurité globale.
En mettant en œuvre ces mesures, les entreprises peuvent améliorer de manière significative leur position en matière de protection des données. Cependant, il est important de se rappeler que la cybersécurité est un processus continu qui nécessite une vigilance constante. Des évaluations régulières et des améliorations du programme de sécurité sont essentielles pour garantir une protection efficace des données sensibles face à des cybermenaces en constante évolution.
Alors que nous évoluons dans un environnement de plus en plus numérique, cet incident souligne l’urgence d’un changement de paradigme dans la manière dont nous considérons et protégeons les données sensibles. Il ne suffit plus de se concentrer uniquement sur la protection des données personnelles. Les entreprises doivent adopter une approche globale qui reconnaisse la valeur unique et la vulnérabilité des données personnelles et des données sensibles.