Les exigences réglementaires font-elles défaut au secteur de la santé ? Trois étapes pour rétablir la sécurité

Par Florent Fortuné, Directeur Technique Europe du Sud de Websense*

Historiquement, le secteur des services financiers a toujours protégé des biens précieux, comme de l’argent, de l’or, des bijoux et des documents. Mais la priorité essentielle et naturelle du secteur de la santé reste les patients. La protection des données des patients constitue un impératif relativement nouveau, et rigoureusement réglementé. Ces exigences font-elles alors défaut au secteur de la santé ?

Effectivement, d’une certaine manière. Les cybercriminels sont ingénieux et font évoluer si rapidement leurs stratégies de manière innovante et dynamique que les exigences de conformité ne peuvent tout simplement pas suivre le rythme. Lorsqu’une nouvelle menace est identifiée et intégrée aux exigences de conformité, elle a déjà été exploitée, les données sont perdues et le mal est fait.

La conformité, étape nécessaire à la diminution des atteintes à la sécurité des données confidentielles des patients, devrait être intégrée à un programme de sécurité proactif et holistique comprenant des politiques efficaces, la formation des employés et les technologies adéquates.

Elaborer un tel programme demande de procéder par étape. Chaque entreprise détient du contenu créé, exploité et diffusé. Malheureusement, les technologies classiques de protection du contenu fonctionnent de manière isolée au sein de systèmes non coordonnés qui sont difficiles à mettre à jour et à gérer, onéreux et inefficaces contre les menaces les plus insidieuses.

Voici les étapes nécessaires à l’application d’une stratégie de sécurité dépassant le cadre de la conformité pour compléter un programme holistique :

•    Créer des politiques de sécurité du contenu réalistes : Il est important de connaître la manière dont les informations confidentielles sont transférées au sein de l’entreprise, tout en assurant la protection contre les menaces Web malveillantes. Ensuite, il s’agit de mettre en place les politiques contrôlant les personnes qui exploitent ces données, la manière dont elles sont utilisées et le moment où elles sont transférées. Et enfin, il faudra décider des technologies à mettre en place pour éviter en temps réel la fuite de données.

•    Former, former et former : Adopter des programmes de politiques et de formation contribue à la correction des processus métier déficients ou risqués. Par ailleurs, faciliter la formation des employés peut aider à les sensibiliser sur les politiques établies et renforcer la pratique globale de la sécurité générale. En cas de doute, il ne faut pas hésiter à rappeler aux collaborateurs les bonnes pratiques. Organiser un séminaire obligatoire en tête à tête avec les collaborateurs au minimum deux fois par an permet d’aborder les répercussions des atteintes à la sécurité des données et les meilleures pratiques les plus récentes.

•    Intégrer des technologies de sécurité du contenu en temps réel : protéger l’entreprise de manière proactive contre les dernières méthodes employées par les cybercriminels passe par l’intégration de technologies innovantes. Pour une protection performante et une gestion simplifiée, il existe plusieurs approches : des solutions de sécurité du contenu intégrées avec l’analyse unifiée des menaces, des consoles de gestion unifiées et des outils de reporting ; des technologies de déploiement flexibles où les logiciels sont à installer soit sur le poste de travail, soit opèrent via des appliances pour des performances optimales ou via des services sur le cloud. Les menaces internes et externes évoluant sans cesse, la solution de sécurité doit être capable d’analyser le trafic Web en temps réel et de classer le contenu Web 2.0 dynamique, tout en bloquant les programmes malveillants « zero day » et en assurant une protection contre la fuite des données confidentielles. Enfin, la solution doit respecter les exigences de conformité et générer des rapports appropriés.

Les exigences de conformité sont nécessaires, mais un programme holistique de sécurité s’avère beaucoup plus efficace pour une protection en temps réel du contenu. Malheureusement, le coût d’une atteinte à la sécurité des données, provenant d’un intrus malveillant, d’un employé mécontent ou d’une simple erreur, peut engendrer des répercussions à long terme sur la réputation d’une institution qui s’est construite sur des années d’excellence en termes de soins prodigués aux patients.

* Florent Fortuné est le Directeur Technique Europe du Sud  de Websense, le leader mondial des solutions unifiées de sécurité du Web, des données et de contenu de messagerie offrant la meilleure protection contre les dernières menaces pour un coût total de possession le plus bas du marché, pour des dizaines de milliers d’entreprises, petites, moyennes ou grandes dans le monde entier.