Parallèlement, la loi leur impose de protéger les données sensibles figurant dans les dossiers médicaux électroniques (DME).
Un large éventail d’appareils est utilisé pour collecter et transmettre les données des patients, notamment des ordinateurs, des appareils mobiles, des pompes à perfusion et des appareils à rayons X. Aujourd’hui, tous ces appareils sont connectés à internet, au réseau informatique hospitalier et à d’autres technologies médicales, même si beaucoup d’entre eux n’ont que peu ou pas de protocoles de sécurité en place. La situation devient encore plus complexe en raison de la nature publique des environnements hospitaliers. De nombreux appareils connectés contenant des données sensibles sont laissés sans surveillance, rendant ainsi tout le réseau vulnérable. Il en résulte une augmentation des menaces à la sécurité des données et des cyberattaques.
Les établissements de santé ont besoin d’une stratégie de sécurité globale pour se protéger contre une intrusion. La meilleure de ces stratégies est une approche systématique qui teste tous les dispositifs connectés pour détecter les vulnérabilités. Une fois identifiées, les menaces de sécurité doivent être classées par ordre de priorité. Les mises à jour et les correctifs de logiciels sont tout aussi importants que le remplacement des équipements obsolètes par de nouveaux dispositifs dotés d’une sécurité intégrée.
Parce qu’ils ne se présentent pas comme des menaces, les appareils multifonctions, les imprimantes et les scanners sont souvent négligés lors des examens de sécurité. Cependant, ces types d’appareils traitent beaucoup plus de données que ce que l’on croit.
En examinant de près les données, on constate à quel point les failles de sécurité sont fréquentes et néfastes dans le monde de la santé. Mais il n’y a pas que les cyberattaques qui causent des dommages. Selon les données d’Ernst & Young, 34% des organisations considèrent que les employés négligents ou inconscients constituent la plus grande menace.
Les attaques contre les données, et particulièrement les données de santé, sont en augmentation.
D’après HIPAA Journal, le nombre de vols de données impliquant plus de 500 dossiers médicaux est passé de 371 à 510 entre 2018 et 2019, soit une augmentation de 37%. Tandis qu’en 10 ans, entre 2009 et 2019, 3 054 vols de données de santé ont eu lieu au total.
En conséquence, près de 231 millions de dossiers de santé ont été perdus, volés, exposés ou divulgués sans autorisation, ce qui représente près de 70 % de la population américaine. Rien qu’en 2019, plus de 4,5 millions de dossiers ont été exposés de manière inappropriée en raison d’erreurs, de négligences ou d’actes malveillants de la part des employés.
Les données médicales exposées peuvent coûter aux organismes de soins des millions de dollars sous forme d’amendes régionales et nationales, d’actions civiles, de plans d’action correctifs, d’usurpation d’identité et de perte d’activité. En 2016, l’Advocate Health Care Network a payé 5,5 millions de dollars d’amendes pour des violations multiples qui ont mis en péril les dossiers médicaux électroniques de plus de 4 millions de patients.
Les amendes de l’HIPAA à elles seules vont de 100 à 50 000 dollars par infraction. Les amendes sont classées par niveaux selon que l’organisation fautive aurait dû être au courant de la violation et des précautions qu’elle a prises - ou non. En d’autres termes, le fait de prendre les mesures nécessaires pour prévenir et identifier les infractions avant qu’elles ne se produisent permet de réduire au minimum les amendes qui risquent d’être infligées en cas d’incident.
Les organismes de santé ne peuvent se permettre de laisser de côté aucun dispositif lors de la mise en œuvre des mesures de sécurité. Au début, les imprimantes et les appareils d’imagerie peuvent sembler assez élémentaires et sûrs, mais ils constituent en fait une menace cachée dans les hôpitaux et les cabinets médicaux. Les imprimantes, connectées au réseau informatique, aux ordinateurs, tablettes ou smartphones sont devenues les points d’entrée privilégiés des cybercriminels et/ou des collaborateurs négligents ou malveillants.
La circulation et le renouvellement constants du personnel soignant facilite la tâche des criminels qui profitent d’un poste de travail vide pour commettre des délits et voler des documents. Alors que de plus en plus d’organisations étendent l’accès mobile aux imprimantes, le contrôle devient encore plus laxiste. Les employés peuvent imprimer un document sensible à distance et le laisser sur l’imprimante pendant des heures avant de le récupérer, ou tout simplement l’oublier. Pourtant, seulement 18% des entreprises surveillent les imprimantes pour détecter les menaces, selon une enquête Spiceworks. Il est évident que ça doit changer.
Les organismes de santé doivent mettre en place des contrôles plus stricts quant au moment et à la manière dont les documents sont imprimés et aux personnes qui ont accès aux tiroirs de réception. La première étape consiste à créer un cadre de sécurité de l’impression qui comprend des dispositifs intégrant une sécurité et une technologie d’impression et de numérisation basée sur le contenu.
La gestion traditionnelle de l’impression retrace des éléments tels que l’en-tête, l’endroit d’où un document a été imprimé et qui l’a imprimé. La gestion de l’impression basée sur le contenu permet de suivre toutes ces informations, ainsi que le contenu du document lui-même. Une solution complète et avancée de gestion du contenu combine l’impression, la capture et la gestion des sorties pour minimiser les failles de sécurité et réduire les coûts de mise en conformité.
La standardisation des processus d’impression, de numérisation et d’automatisation aide les organismes de santé à gérer, sécuriser et superviser les documents sensibles. Les flux de travail et l’automatisation des processus garantissent que les bonnes informations parviennent aux bonnes personnes. Les pistes d’audit automatiques génèrent des rapports crédibles pour démontrer la conformité. En cas de données exposées, les rapports d’audit peuvent documenter la diligence raisonnable dont a fait preuve un organisme, ce qui contribue à réduire les amendes. La technologie d’impression et de saisie des contenus donne aux organismes de santé le pouvoir de sécuriser l’une des plus grandes menaces de sécurité qui se cache à la vue de tous. Grâce à cette technologie, ils amélioreront la sécurité, la productivité et la conformité, et travailleront dès aujourd’hui comme demain.