Demandez à un expert
Pour planifier la bonne solution, les objectifs de votre projet de sécurité doivent être clairement définis. Les experts de Kingston Technology sont là pour vous aider.
Demandez à un expert.Les organismes de santé auront toujours besoin de stocker et de transférer des données de santé personnelles, souvent appelées informations de santé protégées (Protected Health Information, PHI). Donner la priorité à la sécurité des données restera cruciale pour se protéger contre les cyberattaques et la perte de données afin de garder les PHI en sécurité. De fait, une enquête de l’American Medical Association a révélé que 92 % des patients pensent que la confidentialité de leurs données de santé est un droit et qu’elle doit être protégée. Mais les données devant être portables et partageables à tout moment, ça n’est pas une mince affaire.
La protection des PHI peut sembler être un détail. Mais une violation peut avoir des conséquences considérables. Par exemple, Scripps Health a accepté de verser une rançon de 3,5 millions de dollars après une attaque de ransomware en 2021.
Sans vouloir être alarmiste, il faut être réaliste et reconnaître que le nombre de violations impliquant des entités de soins de santé est en augmentation. Les acteurs malveillants comprennent la valeur de la compromission des données de santé, et les attaques par ransomware se développent rapidement, faisant du secteur de la santé une cible stratégique dans le monde entier.
Pour faire simple, relever ces défis uniques et se conformer aux réglementations en constante évolution est tout à fait possible. Il suffit de faire du chiffrement des données un élément clé de la stratégie de sécurité de tout organisme de santé.
Après tout, ce qui peut être vu peut être soit attaqué, soit sécurisé ! Il est important de le savoir lorsque vous envisagez votre plan de sécurité des données.
Chez Kingston, nous savons que la protection adéquate des données de santé est un sujet sérieux. Au moment de chiffrer les données de santé pour les sécuriser, il y a plusieurs points à prendre en compte. Tout d’abord, il est important de comprendre la valeur du chiffrement des données pour la conformité réglementaire. L’HIPAA et d’autres réglementations internationales comme le RGPD et le CCPA imposent des exigences en matière de chiffrement des données personnelles. En utilisant le chiffrement, les organismes de santé peuvent se protéger des conséquences d’une violation de données et rester en conformité avec ces réglementations.
Mais même le choix du chiffrement est une tâche délicate, car il en existe généralement deux types : le chiffrement matériel et le chiffrement logiciel.
Comprendre la différence entre le chiffrement logiciel et matériel a des implications pour la sécurité des données de santé des patients. Le chiffrement logiciel est souvent moins cher à mettre en œuvre au départ, mais sa sécurité dépend du système hôte. Par conséquent, il est beaucoup plus vulnérable au piratage car les mots de passe ou les clés de récupération se trouvent dans la mémoire du système hôte, dans les fichiers de pagination et d’hibernation. En outre, de nombreux formats de fichiers chiffrés peuvent être attaqués à l’aide d’outils logiciels trouvés sur Internet gratuitement ou à un coût minime. Ces derniers peuvent exécuter des attaques de mot de passe par force brute afin de briser le processus d’authentification. Les ordinateurs d’aujourd’hui sont capable de tester 1 ou plusieurs milliards de mots de passe par seconde. Les fichiers chiffrés par logiciel peuvent également être copiés et attaqués en parallèle par un réseau d’ordinateurs, ce qui réduit encore le temps nécessaire pour mener les attaques de type Force brute.
Le chiffrement matériel est un écosystème de sécurité dédié entièrement contenu dans l’appareil de stockage, qu’il s’agisse d’une clé USB ou d’un SSD externe. Le chiffrement matériel est toujours actif, protégeant les données en permanence, alors que n’importe qui peut supprimer le chiffrement logiciel d’un disque simplement en le reformatant. Pour les prestataires de soins de santé, cela signifie qu’un employé malveillant peut désactiver la protection et transformer un disque chiffré par logiciel en un appareil de stockage libre d’accès.
Aussi, en général, le chiffrement matériel est exponentiellement plus sûr car il n’expose pas les mots de passe et les clés de chiffrement au système hôte. Cependant, cette sécurité supplémentaire a un coût plus élevé par rapport aux disques de stockage non chiffrés. Étant donné qu’une violation moyenne coûte plus de 4,35* millions de dollars aux États-Unis en 2022, les économies réalisées en choisissant le chiffrement logiciel peuvent être illusoires. Surtout si l’on sait qu’il existe de bien meilleures solutions pour les données mobiles : des clés USB et des SSD externes à chiffrement matériel XTS-AES 256 bits qui intègrent des protections contre les attaques de type Force brute et BadUSB. Si un SSD externe à chiffrement matériel est perdu, on peut raisonnablement supposer qu’il restera sécurisé et continuera à protéger les données PHI grâce à sa sécurité renforcée.
La gamme de disques à chiffrement matériel Kingston IronKey XTS-AES 256 bits offre plusieurs options conviviales qui répondent aux frustrations des utilisateurs en matière de sécurité. Ils prennent en charge les mots de passe multiples pour permettre aux utilisateurs ou aux fournisseurs de récupérer l’accès aux disques en cas d’oubli d’un mot de passe. Il existe désormais une alternative aux mots de passe complexes dont personne ne se souvient : les phrases de passe. De 64 caractères maximum, il peut s’agir du titre d’un livre ou d’une chanson, d’une liste de mots, d’une ligne d’un poème ou d’une chanson, par exemple. Elles sont faciles à retenir pour les médecins et autres professionnels de la santé mais presque impossibles à pirater pour les attaquants. En effet, le disque est verrouillé en cas d'attaque de type Force brute et un effacement chiffré est réalisé si un trop grand nombre de mots de passe erronés sont saisis.
Les phrases de passe sont disponibles sur les clés usb sécurisées Vault Privacy 50, 50C et le SSD Externe Vault Privacy 80. Les disques avec clavier comme le Vault Privacy 80ES et le Keypad 200 sont basés sur un code PIN dont l’utilisation est similaire aux codes PIN des téléphones portables, pour les personnes qui préfèrent utiliser un code PIN. Le VP80ES prend également en charge les phrases de passe en utilisant un clavier alphanumérique sur un écran tactile.
Tous les disques IronKey sont dotés d’une solide protection contre les attaques de mot de passe par force brute. Lorsqu’un attaquant tente de deviner un mot de passe, le disque compte le nombre d’échecs de saisie et, passé un certain nombre, verrouille les mots de passe Utilisateur. Lorsque les tentatives de saisie de mot de passe Admin sont épuisées, le disque se chiffre automatiquement et toutes les données sont perdues à jamais. Le chiffrement logiciel est incapable d’offrir une telle protection contre de telles attaques.
Les disques indépendants du système d’exploitation comme le Vault Privacy 80ES et le Keypad 200 sont idéaux pour protéger les données transférées entre les machines médicales et les ordinateurs. Or, ce type de transferts est largement utilisé pour de nombreux appareils utilisés dans les services de santé. Par exemple, de nombreuses machines de laboratoire nécessitent un transfert manuel des données par les techniciens dans le système informatique du prestataire.
En plus des appareils à chiffrement matériel, les organismes de santé devraient envisager des mesures supplémentaires en termes de cybersécurité, comme la formation des employés aux meilleures pratiques, la mise en place d’une authentification multifactorielle et la mise à jour régulière des logiciels et des systèmes. Même pour les petits prestataires de soins de santé, des sauvegardes régulières sur des SSD externes à chiffrement matériel peuvent faire toute la différence entre être victime d'une attaque par ransomware et être en mesure de récupérer rapidement les systèmes.
En adoptant une approche de la sécurité à plusieurs niveaux et en intégrant la protection des données dans les habitudes quotidiennes des employés, les organismes de santé peuvent protéger efficacement les données des patients. L’intégration des disques à chiffrement matériel Kingston IronKey dans la stratégie de sécurité des données est un moyen efficace de garantir la conformité à la loi HIPAA et aux autres réglementations relatives à la protection des données de santé.
Vous pouvez trouver d’autres produits Kingston IronKey pour répondre aux besoins de sécurité des données de santé. Par ailleurs, le service « Demander à un expert » peut vous aider à assurer la sécurité des données de vos patients.
#KingstonIsWithYou #KingstonIronKey
Pour planifier la bonne solution, les objectifs de votre projet de sécurité doivent être clairement définis. Les experts de Kingston Technology sont là pour vous aider.
Demandez à un expert.