Ce livre blanc met ces principes fondamentaux de la cyberprotection en perspective avec les sept problèmes majeurs du secteur de la santé
"Le secteur de la santé fait l'objet d'une transformation numérique majeure. Il doit abandonner les méthodes dépassées de stockage d'informations sur les patients et adopter de nouvelles applications de diagnostic et de traitement générant une grande quantité de données. Les établissements de santé sont simultanément soumis à d'énormes pressions : il leur faut accroître les bénéfices, respecter les réglementations en matière de confidentialité, optimiser les soins des patients et améliorer l'interopérabilité avec les assurances, les fournisseurs, les prestataires partenaires, les établissements universitaires et les patients.
Le volume croissant de données médicales sensibles est disséminé entre différents emplacements physiques, équipements informatiques et réseaux (y compris des Clouds privés et publics). De nouvelles applications médicales majeures, comme la télémédecine, la télésurveillance des patients et la formation assistée par réalité virtuelle, accroissent le flux de données. D'autres technologies émergentes, comme l'intelligence artificielle, l'apprentissage automatique, l'Internet des objets et la blockchain, rendent la situation encore plus complexe. Sans compter le nombre croissant d'utilisateurs réclamant l'accès à ces données.
Dans le même temps, le secteur est submergé par une vague de nouvelles cybermenaces (violations de conformité, attaques par ransomware et campagnes de cryptopiratage). Il n'a jamais été aussi difficile de maintenir la disponibilité, l'accessibilité et la confidentialité des données de santé.
Le secteur de la santé est une cible de choix pour les cybercriminels et les États hostiles, encouragés par le fait que les attaques par ransomware sont particulièrement efficaces lorsque l'accès aux données sensibles est une question de vie ou de mort.
C'est ce qui explique la soudaine augmentation, ces dernières années, des attaques par ransomware très médiatisées, notamment celle visant le service britannique de santé publique (NHS), l'hôpital Adams Memorial, MedStar Health, Erie County Medical, entre autres. Les compromissions de données dans ce secteur se répètent ; des centaines de millions de dossiers médicaux et de dossiers de remboursement sont volés chaque année.
Le secteur est également dans le viseur des organismes chargés de l'application de réglementations en matière de confidentialité, comme le règlement général sur la protection des données (RGDP) de l'Union européenne ou la loi HIPAA (Health Insurance Portability and Accountability Act) aux États-Unis, sans oublier certaines réglementations régionales. Les acteurs du secteur risquent également d'enfreindre des normes de réglementation des cartes de crédit, comme la norme PCI DSS (Payment Card Industry Data Security Standard).