Publié par UnderNews Actu - Télécharger l'application Android

Entre mi-juillet 2019 et début septembre 2019, Greenbone Networks a mené une analyse d’environ 2 300 systèmes d’archivage d’images médicales connectés à Internet.

Selon le rapport, sur les 2 300 systèmes d’archives analysés dans le monde, 590 ont été identifiés comme accessibles sur Internet. En tout, ils contiennent plus de 24 millions d’enregistrements de données provenant de patients de 52 pays différents. Plus de 737 millions d’images sont liées à ces données patients, dont environ 400 millions sont accessibles ou facilement téléchargeables sur Internet. Par ailleurs, 39 systèmes permettent d’accéder aux données des patients via un Web Viewer HTTP non chiffré, sans aucune protection d’accès.

CyberGhost VPN Promo

La France apparaît également dans le rapport puisque les experts de Greenbone Networks ont détecté 7 serveurs médicaux non sécurisés en France. Celles-ci hébergeaient plus de 2,6 millions d’images en libre accès dans 47 500 dossiers patients.

A noter que pour identifier ces données, les experts de Greenbone se sont contentés d’utiliser des outils en ligne de recherche d’équipements IoT.

Vous trouverez ci-dessous le commentaire de Christophe Lambert, Directeur Systems Engineering Grands Comptes EMEA chez Cohesity, spécialiste de la protection des données.

“La disponibilité en ligne de fichiers à caractère hautement confidentiel démontre que les organisations et les individus n’ont pas pleinement conscience des risques encourus lorsqu’ils hébergent des documents de nature médicale sur des serveurs accessibles depuis Internet. Pour réaliser leur étude, les experts de Greenbone Networks ont utilisé des outils accessibles en ligne de découverte d’équipements connectés. Ils se sont contentés de rechercher les systèmes intégrant le protocole DICOM, un standard technologique basé sur TCP/IP  utilisé notamment par les acteurs de la santé pour l’échange de données médicales. Autant dire que ce type de recherche est accessible au plus grand nombre, et qu’une connaissance poussée des systèmes d’information n’est pas nécessaire. Il s’agit donc d’une victoire facile pour des personnes mal intentionnées. La compréhension des risques de sécurité dans le secteur de la santé est insuffisant. Non seulement cette approche dilettante de la protection des données soumet les organismes concernés à des risques de représailles via des réglementations comme le RGPD, mais surtout elle met en danger les patients dont les données privées sont rendues publiques. Bien souvent, les entreprises ne savent pas quelles informations personnelles sont présentes dans les données ou dans les copies de données qu’ils transfèrent d’un environnement à un autre. Pour masquer les données, elles ont recours à un mélange de scripts et d’outils maison, mais cette méthode peut être source d’erreur et n’est pas pérenne. D’après les recherches d’IDC, plus de 80 % des organisations utilisent des scripts maison pour masquer les données et les appliquent au moment de la création de la copie. Cette approche est sujette aux erreurs et rend plus difficile pour les entreprises de se conformer aux réglementations en vigueur. Une bonne pratique en la matière consiste à identifier et masquer de la manière la plus automatisée possible les informations personnelles qu’elles contiennent. 

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore noté)
Loading...

Mots clés : , , , ,


Vos réactions




Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.