Meilleures pratiques pour des sauvegardes sécurisées dans le secteur de la santé
Voici quelques stratégies que les établissements de santé peuvent explorer pour sécuriser les sauvegardes.
Stockage immuable: Le stockage immuable signifie que les données ne peuvent être effacées que dans la solution de protection des données où elles ont été créées.
« L’utilisation d’un stockage immuable est un moyen de garantir que les attaquants ne pourront pas modifier les images précédemment sauvegardées », explique Shi. « Il s’agit essentiellement d’espaces d’air qui les empêchent de fonctionner et de les perturber, ce dont vous avez besoin en mode de récupération. »
Authentification multifacteur: Cette technologie utilise une forme supplémentaire d’authentification telle qu’une notification push ou une correspondance de jeton en plus d’un nom d’utilisateur et d’un mot de passe pour accéder à un système.
« Il est fondamental de s’assurer que vous disposez d’une MFA pour vos administrateurs qui ont accès à vos outils de sauvegarde », explique Shi.
Shi recommande d’utiliser des correspondances de jetons, car les notifications push peuvent être facilement gamifiées.
Si les acteurs malveillants n’ont pas accès à une carte SIM de téléphone associée à un numéro de téléphone, ils ne peuvent pas passer le niveau d’authentification suivant, explique Lundberg. Des facteurs d’authentification supplémentaires pourraient être associés aux informations d’identification VPN, ajoute-t-il.
Active Directory: Cette base de données réside dans Windows Server et permet la gestion des identités, l’authentification et le contrôle d’accès. AD permet également aux responsables informatiques de la santé de maintenir la sécurité du réseau.
« Il s’agit également de limiter les autorisations dont disposent les utilisateurs et d’être intelligent quant aux systèmes auxquels ils peuvent accéder », explique Lundberg. « Tout le monde dans l’organisation n’a pas besoin d’accéder à tout. Vous êtes le PDG, mais vous n’avez pas vraiment besoin de la clé en or du service informatique ou des dossiers RH ?
Lundberg note qu’AD lui-même est devenu une cible. Les établissements de santé devraient donc mettre en œuvre des défis similaires en matière de protection des données et de connexion pour Active Directory.
Les organisations devraient appliquer une stratégie de confiance zéro pour l’accès aux applications plutôt que d’accorder des autorisations étendues, explique Lundberg.
Authentification du protocole de temps réseau : Également appelée horloge monotone, cette stratégie empêche les pirates de sauter dans le temps et nécessite l’authentification d’un serveur avant que les modifications ne soient apportées localement.
Cependant, des acteurs malveillants peuvent usurper un serveur NTP et modifier le nom de domaine, prévient Shi.
Même si une organisation a choisi les dossiers à sauvegarder sur les machines des utilisateurs, le logiciel ne fonctionnera pas en cas d’attaque de ransomware car le NTP est usurpé, explique Shi.
« Disposez de systèmes de stockage et de sauvegarde qui exécutent leurs propres horloges internes inviolables », conseille Lundberg.
Si certains serveurs de temps réseau sont réglés dans sept ans mais qu’une horloge interne est réglée pour aujourd’hui, cela empêchera une attaque d’impacter les systèmes de sauvegarde, explique-t-il.
«Cela ne permettra pas que des choses se produisent», dit Lundberg. « Il informera un administrateur système que vos serveurs de protocole horaire ne sont pas en accord avec mon horloge interne. »
Travailler avec un partenaire sur la sauvegarde et la sécurité des données
Lorsque les fournisseurs de services gérés aident les établissements de santé à mettre en œuvre la sauvegarde en tant que service, ils bénéficient de la sécurité du cloud ainsi que de la protection des e-mails et des données, note Shi.
« Avoir des outils est une chose, mais avoir les connaissances, l’expérience et le type de renseignements sur les menaces dont nous disposons pour soutenir ces efforts rend les choses plus faciles », explique Shi.
Un fournisseur peut également exploiter un centre d’opérations de sécurité pour le compte de clients afin d’exploiter des outils de sauvegarde. Cela permet au service informatique de se réunir avec le personnel hospitalier et les cliniciens lors des événements de sécurité, afin que les hôpitaux aient l’esprit tranquille en sachant qu’un MSP maîtrise leurs besoins en matière de sécurité des données, explique Shi.
Les partenaires permettent au personnel informatique et aux médecins de se concentrer sur ce qu’ils font le mieux, comme améliorer le fonctionnement d’une plateforme de DSE ou optimiser l’utilisation d’une suite d’IRM, explique Lundberg. Ils permettent aux établissements de santé de prioriser les services à sauvegarder en tant que service en fonction de leur budget opérationnel. Par exemple, les systèmes des salles d’urgence peuvent être sauvegardés avant les systèmes de facturation.
« La valeur apportée par les partenaires réside dans l’expertise technologique et le coaching en matière de modèles commerciaux. Il s’agit donc simplement d’une discussion sur la manière de mieux fonctionner en tant qu’organisation de soins de santé », explique Lundberg.