Beaucoup de logiciels utilisés par les services alimentaires contiennent des renseignements sur les patients qui doivent être protégés des pirates informatiques
Selon Ponemon Institute, une société de recherche en sécurité du Michigan, dans les deux dernières années, près 90 pour cent des fournisseurs de soins ont subi une atteinte à la protection des données.
Compte tenu de la quantité de renseignements électroniques conservés, cela n’a rien de surprenant : nom, état de santé, antécédents familiaux, numéro d’assurance sociale, données de facturation, etc. Tout y est, et les voleurs pourront revendre l’information sur le marché noir.
Comme les systèmes de gestion de la diète et des commandes peuvent contenir de l’information sensible à propos des patients, les services alimentaires sont aussi concernés que les autres départements. Et le danger ne provient pas que de l’extérieur. Par exemple, un employé ou un visiteur pourrait obtenir des données personnelles en consultant le relevé d’un plateau-repas.
Cinq façons de prévenir ou de gérer les atteintes à la protection des données
1. Repérer les vulnérabilités. Tentez de trouver les failles qui pourraient permettre l’accès aux données. Même si les cyberattaques constituent la principale source de violation, déterminez aussi les mesures à prendre en cas de négligence ou de malveillance du personnel, de vol ou de perte de matériel informatique ainsi que d’attaques de logiciels malveillants.
2. Collaborer avec les TI. Consultez le service des TI (technologies de l’information) ou un spécialiste en cybersécurité. Ils pourront vous proposer des stratégies qui permettront de réduire les risques au maximum, par exemple, le recours aux technologies de chiffrement. Assurez-vous également que vos fournisseurs respectent vos protocoles de protection de la vie privée.
3. Informer son personnel. Veillez à ce que vos employés connaissent la réglementation applicable et les politiques internes concernant la protection des renseignements personnels. Ajoutez la protection à toutes les descriptions de tâches, assurez-vous que chacun sache que les renseignements médicaux sont des données sensibles et présentez les moyens de protection en place.
4. Surveiller les appareils et les dossiers. Rappelez aux employés de surveiller attentivement ce qu’ils ont en leur possession. Beaucoup de violations de données résultent de vols dans des résidences, des véhicules ou des bureaux.
5. Élaborer un plan d’intervention. En collaboration avec divers intervenants (direction de l’établissement, professionnel des communications, avocat, agent de conformité, spécialiste de la cybersécurité, etc.), élaborez un plan à suivre en cas d’atteinte à la protection des données.
Autre type de violation
En mars dernier, des organismes de cybersécurité au Canada et aux États-Unis ont diffusé une mise en garde concernant le nombre croissant d’attaques de logiciels de rançon ciblant les organisations de santé. Plutôt que de voler des données, les pirates informatiques paralysent les systèmes et demandent ensuite une rançon.
Ainsi, le Los Angeles Times rapportait en février que le Hollywood Presbyterian Medical Center a payé une rançon de 17 000 $ US à un pirate informatique qui avait infecté le système de l’établissement.
Et plus tôt en janvier, le Hurley Medical Center, situé à Flint (Michigan), a aussi été victime d’une cyberattaque ayant paralysé les services alimentaires de l’hôpital. D’après MLive Media Group , les documents et courriels obtenus en vertu de la loi sur l’accès à l’information américaine ont permis de conclure que « le dîner a été retardé parce que des plateaux réguliers ont été envoyés et que les infirmières ont dû voir eux-mêmes à la gestion des diètes particulières. » Certains patients n’ont été servis que vers 16 h.
L’attaque du centre Hurley s’est finalement révélé être une protestation du collectif Anonymous en réponse à la crise de l’eau contaminée de Flint plutôt qu’une réelle demande de rançon. L’incident a tout de même permis de démontrer qu’en cas de paralysie du système, les services alimentaires sont très vulnérables.
Selon les experts, même s’il est impossible de prévenir complètement les attaques, les organisations peuvent en limiter les conséquences, et éviter de payer une rançon, en sauvegardant et en protégeant les données, en faisant affaire avec des fournisseurs sérieux, en expliquant les risques à leur personnel et en se dotant d’un bon plan d’intervention.
Pour ce faire, il faut déterminer les effets qu’une attaque pourrait avoir et créer un plan qui garantit que, en cas de défaillance du système, les patients seront nourris selon leurs besoins (allergies, diètes thérapeutiques, texture adaptée).
Le personnel doit aussi recevoir une formation sur la cybersécurité : hameçonnage, ouverture de pièces jointes inconnues, connexion d’appareils externes sur le système de l’établissement, etc.
Si vous n’avez pas encore été la cible de pirates informatiques, cela ne saurait tarder. Ainsi, vous devez tout faire pour protéger les renseignements médicaux de votre clientèle et éviter l’accès à vos systèmes.
Violation de données et relations publiques
En cas d’atteinte à la protection des données, on doit intervenir immédiatement. On peut alors se servir des médias sociaux pour répandre rapidement la nouvelle. Il faut cependant s’assurer de contrôler le message. Voici les recommandations de spécialistes des relations publiques :
Réagir de façon rapide et honnête. Présentez des excuses et exposez votre plan d’action.
Créer un centre d’échange d’information. Ce site permettra de répondre aux besoins des clients tout en détournant les commentaires négatifs de vos plateformes de médias sociaux.
Garder les choses simples. Veillez à ce que toutes les communications soient claires et concises et ne puissent pas porter à confusion.
L’avantage d’EMV
Les transactions par carte de crédit ou de débit, par exemple dans les cafétérias ou les kiosques, peuvent mener à la compromission des données. Néanmoins, la technologie EMV (Europay Mastercard Visa) contribue à diminuer ce risque.
En 2007, le Canada a accéléré l’ajout de puces aux cartes de crédit, ce qui a permis de réduire grandement les pertes liées aux fraudes. Les États-Unis emboîtent à présent le pas.
Il est à noter que l’utilisation de lecteurs de cartes à puces (EMV) n’est pas obligatoire pour la vente au détail. Néanmoins, ceux qui n’en ont pas risquent d’être tenus responsables des transactions frauduleuses.
Cibles des voleurs
D’après les TI du secteur de la santé , voici les principaux renseignements convoités par les pirates informatiques (dans l’ordre) :
1. Dossier médical du patient.
2. Données de facturation du patient.
3. Information relative aux essais cliniques et autres études.
4. Renseignements personnels des employés.