La gestion des vulnérabilités basée sur les risques porte ses fruits dans les soins de santé

Les innovations dans le domaine de la santé ajoutent de la valeur tout en augmentant les risques de sécurité

Le secteur de la santé en particulier, note-t-il, est confronté à de nombreux défis en raison des données de haute valeur sur les patients dont les fournisseurs ont besoin pour maintenir un niveau de soins élevé.

«Les adversaires ont également compris cela», dit-il. «Les ransomwares sont la plus grande chose à laquelle ils sont confrontés, car ils savent que vous en avez tellement besoin que s’ils l’ont et le verrouillent, vous êtes prêt à payer des montants exorbitants pour le récupérer.»

Cette vulnérabilité, associée aux nouvelles innovations technologiques dans le domaine de la santé – telles que les portails de santé en libre-service pour les patients, les rendez-vous à distance basés sur la vidéo et les unités de surveillance continue – met les entreprises au défi de sécuriser un paysage de menaces élargi avec de multiples points de brèche potentiels qui existent en dehors des locaux. Infrastructure informatique.

«Vous avez plusieurs terminaux, tout est connecté, et toutes ces méthodes relativement nouvelles d’accès des consommateurs, comme les portails de patients, offrent maintenant aux adversaires la possibilité de percer des trous et d’entrer», déclare Aboud.

Pour que les établissements de santé adoptent une approche de gestion des vulnérabilités basée sur les risques, ils doivent dépasser les frontières artificielles des environnements informatiques traditionnels.

«Cela comprend l’analyse des données de vulnérabilité, y compris la criticité des actifs et l’activité d’attaque actuelle, et leur mise à jour continue, au lieu de l’analyse une seule fois par mois», explique Aboud.

Il recommande d’effectuer ces types d’analyses de sécurité deux ou trois fois par semaine – et d’automatiser le processus – comme une meilleure défense pour le paysage dynamique des menaces.

«Une fois cette analyse effectuée, vous devez prendre les mesures appropriées: corriger, atténuer, accepter», dit-il. «Si c’est un composant supercritique qui ne peut pas être retiré, ou si vous n’en avez pas la propriété, ou si le risque de le corriger est plus grand que d’avoir l’infection et de le traiter, vous pouvez simplement l’accepter.»

EN RELATION: Découvrez quatre façons de lutter contre les attaques de phishing qui pourraient entraîner une violation.

L’évaluation holistique des risques soutient une stratégie proactive dans le domaine de la santé

Dans le domaine de la santé, les services commerciaux critiques vont des dossiers de santé électroniques et des systèmes de planification aux systèmes de télémétrie des patients et aux pompes IV portables.

«Tous ces éléments sont connectés au Web, y compris les moniteurs cardiaques qui peuvent devoir traverser la ville», dit-il. «Les établissements de santé doivent pouvoir gérer la vulnérabilité pour toutes ces choses.»

Les actifs hors site hébergés dans le cloud ou dans des environnements conteneurisés constituent souvent un angle mort, dit-il, en particulier si une organisation de santé utilise une gestion des vulnérabilités héritée qui analyse uniquement les environnements informatiques sur site.

Aboud souligne que la reconnaissance de la criticité des actifs est une pièce majeure du puzzle, et c’est un domaine que les organisations peuvent facilement ignorer.

À titre d’exemple, dit-il, supposons qu’une organisation utilise un indice de score de vulnérabilité allant de 1 à 10. «Je pourrais avoir une vulnérabilité qui a obtenu un 10, et c’est critique, mais c’est un système de laboratoire, donc la criticité de cet actif pourrait être un 4 », dit-il. «D’un autre côté, je pourrais avoir une vulnérabilité qui n’est que de 6 sur 10, mais c’est sur un actif considéré comme un 10 – lié directement à un DSE ou à un patient, peut-être – vous devez d’abord résoudre ce problème.»

EN RELATION: Découvrez pourquoi les organisations de soins de santé s’orientent vers des stratégies de confiance zéro.

Il est également important d’associer la mesure de la gestion des vulnérabilités à une communication efficace des progrès de la sécurité.

«Cela se résume à des rapports solides», dit Aboud. «Vous devez vraiment mesurer vos KPI, et ces outils de reporting et d’analyse sont importants à plusieurs niveaux, car vous voulez maintenir la confiance de la direction dans vos capacités.»

Dans l’écosystème complexe d’une organisation de santé, les services non médicaux, tels que le juridique et les finances, se soucient également des rapports de sécurité, souligne-t-il. Quiconque est responsable de la gestion des risques doit savoir que le niveau de risque diminue.

«Il est extrêmement important de disposer d’outils capables d’analyser et de signaler efficacement le programme de gestion des vulnérabilités», dit-il.

Les appareils mobiles présentent un facteur supplémentaire qu’il est important d’intégrer dans toute stratégie de gestion des vulnérabilités, en particulier pour les organisations de soins de santé dotées de politiques BYOD. Ici, les organisations doivent évaluer le pare-feu ou les protections VPN dont disposent ces appareils, ainsi que où et comment ils se connectent au réseau et quels segments du réseau ils touchent.

«Si vous ne comprenez pas qu’un appareil est critique et doit être verrouillé, vous risquez d’annuler la priorité de certaines vulnérabilités», déclare Aboud. «Ces choses sont vraiment importantes, car si vous êtes un médecin avec un appareil vulnérable qui examine le dossier de santé d’un patient, vous créez une opportunité pour les adversaires d’entrer.»

Présenté par: