Le cloud, une technologie clef pour la sécurité des données de santé

Le nombre de victimes de cyberattaques a été multiplié par quatre en 2021 par rapport à 2020, selon un rapport le Common Situational Picture, publié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et son homologue allemand, le Bundesamt für Sicherheit in der Informationstechnik (BSI). « Le ciblage du système de santé dans son ensemble et des chaînes d’approvisionnement représente aujourd’hui une menace majeure », préviennent les deux organisations. 

Cette cybermenace entraîne des risques variés, « contre lesquels les organisations peuvent se protéger, en mettant en place des mesures de protection technique, organisationnelles et contractuelles », explique Mathieu Jeandron. L’objectif de ces protections est double : garantir la disponibilité du système d’information, particulièrement critique dans les établissements de santé, et préserver la confidentialité des données. « Attaques par ransomwares, vols de données, attaques par déni de service… Il revient à chaque organisation d’évaluer les principaux risques associés à son système pour s’en protéger », souligne l’expert d’Amazon Web Services (AWS), spécialisé dans les services de cloud computing.

Pour lui, faire le choix du cloud permet de bénéficier – sans investissements massifs dans des infrastructures, puisque le paiement se fait à l’usage – d’un renforcement de la sécurité sur deux plans complémentaires pour réduire ces risques. « Premièrement, le client bénéficie des mesures de sécurité intrinsèques du fournisseur du service cloud, qui sont à la fois physiques (protection des datacenters contre les incendies ou les intrusions, redondance des données, etc.) et logicielles (mises à jour de sécurité, etc.) », détaille-il. AWS est ainsi certifié HDS (Hébergement de Données de Santé) et ISO 27.001, une norme de gestion de la sécurité qui définit les bonnes pratiques en matière de gestion et de contrôle de la sécurité. L’Association Lorraine pour le Traitement de l’Insuffisance Rénale (ALTIR) avec l’aide de SCC, a par exemple déployé sa solution de Dossier Patient informatisée (DPI) dans le Cloud AWS, en se reposant sur la certification HDS d’AWS.

Le second niveau de sécurité comprend les différents services apportés par le prestataire. « Le bon fournisseur est celui qui saura fournir à ses clients le meilleur niveau de sécurité intrinsèque du cloud, mais aussi une gamme de services qui lui permettra, comme une boite à outils, de construire un système d’information complètement protégé », résume-t-il. Lifen a par exemple fait le choix du Cloud AWS pour sa plateforme qui permet l’échange simple et sécurisé de documents médicaux entre les hôpitaux, les professionnels de santé, et les patients.

Parmi ces services proposés par AWS, il cite AWS Key Management Service (KMS), qui permet de créer et de gérer facilement des clés cryptographiques et de contrôler leur utilisation sur un large éventail de services AWS et dans les applications clients ; AWS Nitro System, une combinaison de matériel dédié et d'hyperviseur léger qui est utilisé par AWS pour son infrastructure de virtualisation, permettant une innovation plus rapide et une sécurité renforcée ; Amazon GuardDuty, un service de détection des menaces qui surveille en permanence les activités malveillantes et les comportements anormaux, afin de protéger les clients AWS, leurs charges de travail et leurs données. GuardDuty, capable d'analyser des dizaines de milliards d'événements dans plusieurs sources de données AWS, utilise plusieurs techniques pour identifier les indicateurs de compromission, comme le machine learning (ML), la détection des anomalies et le renseignement intégré sur les menaces pour identifier et hiérarchiser les dangers. 

« Enfin, il est important de noter que l’on travaille avec des partenaires de sécurité qui nous permettent de répondre aux besoins du plus grand nombre », a ajouté Mathieu Jeandron. C’est le cas de la société Fortinet, qui offre une sécurité d'entreprise pour les charges de travail sur AWS, avec notamment un pare-feu de nouvelle génération et un pare-feu Web pour prévenir les intrusions.