De plus en plus de professionnels de santé reçoivent, stockent, manipulent et transmettent les données médicales de leurs patients via des terminaux mobiles. Chaque smartphone, tablette et application est une porte d’entrée vers les systèmes d’information des hôpitaux, laboratoires, etc, affaiblissant la sécurité des données sensibles qu'il manipule.
« D'ici 2022, 97% des infirmières et 98% des médecins utiliseront des technologies mobiles pour traiter les patients ». The Future of Healthcare: 2022 Hospital Vision Study
Il va sans dire que cette évolution améliore de manière significative la manière dont les soins sont dispensés, mais elle crée aussi de nouveaux défis pour les équipes de sécurité IT des établissements de santé. Sécuriser efficacement ces nouveaux points d'accès est impératif afin de garantir la confidentialité des données des patients.
Les terminaux mobiles, une menace pour le moment négligée
Actuellement, 81% des organismes de santé enregistrent les données de leurs patients sur des terminaux mobiles alors qu’inversement, seulement 46% ont une stratégie de sécurité visant à contrôler leur utilisation (Source: CDW Healthcare). Le fossé entre ces deux chiffres se traduit par des cyber attaques de plus en plus fréquentes dans le secteur médical et souligne le fait que la sécurité des smartphones et des tablettes est trop souvent négligée.
Un terminal mobile non maîtrisé met en danger la confidentialité des données sensibles qu’il manipule, en s’exposant à des menaces provenant de trois vecteurs :
- Applications : Malware, fuite de données…
- Réseau : Man-In-The-Middle attack, Wi-Fi non sécurisé, détournement de sessions…
- OS : Exploitation des vulnérabilités, root, jailbreak…
Cependant, gérer et protéger tous les terminaux, les utilisateurs et les données est une lourde tâche pour les institutions médicales et leur centaines, parfois milliers, de terminaux (professionnels et BYOD). La meilleure option est alors de l’automatiser en déployant une solution EMM + MTD.
Les solutions de gestion de flotte mobile (Enterprise Mobility Management) telles que AirWatch VMware, MobileIron or IBM MaaS360 consolident la gestion des smartphones, tablettes et objets connectés ainsi que leurs données et applications. En parallèle, la technologie « Mobile Threat Defense » assure la protection des tous ces supports avec une approche à 360°.
La sécurité des applications, un risque sous-jacent
Les professionnels de santé qui utilisent des applications mobiles gagnent en interopérabilité, en coordination et améliorent la communication avec les différentes entités avec lesquelles ils interagissent. La plupart du temps, les applications sont développées par des fournisseurs tiers et leur sécurité est une grande préoccupation dans le secteur médical.
Une application mobile peut compromettre la confidentialité des données des patients en étant vulnérable à l'environnement dans lequel elle évolue. Par exemple, l’application saura-t-elle détecter la présence d’un malware sur le terminal ? Sera-t-elle en mesure de protéger les informations sensibles qu’elle stocke et/ou auxquelles elle accède ?
Afin de maîtriser les menaces liées à l’environnement dans lequel évolue leur application, les fournisseurs peuvent intégrer un SDK d’autoprotection analysant en continu le terminal hébergeant l’application et mettant en œuvre des contre-mesures en cas d’attaque.
La deuxième menace potentielle liée aux applications vient de l'intérieur. Une recherche récente menée par l’équipe de recherche de Pradeo a montré que 61% des applications Android et 36% des applications iOS divulguent des données. En outre, ces applis envoient des informations vers une moyenne de 17 serveurs distants et 1 sur 5 établie une connexion à un réseau suspect. Comment savoir si l'application tierce utilisée divulgue les informations qu'elle manipule ?
La sécurité des applications est une étape souvent mise de coté en phase de développement, résultant en un grand nombre d’applications vulnérables aux attaques et/ou ayant des comportements suspects sur les boutiques publiques. Pourtant, de nombreuses solutions dédiées offrent aux applications la couche de sécurité dont elles ont besoin.
L’audit de sécurité des applications a pour objectif d’identifier et de qualifier les comportements et vulnérabilités de n’importe quelle application depuis son fichier exécutable. De nombreuses industries ont déjà adopté ce type de solution pour contrôler la sécurité des applications que leurs collaborateurs et usagers utilisent.