Protéger le matériel de recherche médicale contre les cybermenaces (ITSAP.00.134)

Comment puis-je protéger mon organisation?

Pour protéger vos données, vous devez absolument sécuriser votre matériel de recherche médicale. Tout dispositif muni d’un logiciel et connecté à votre réseau est vulnérable aux cybermenaces. En appliquant les conseils de cybersécurité ci-dessous, vous améliorerez votre environnement et renforcerez la protection de votre matériel de recherche, de vos dispositifs et de vos données.

Renforcez la sécurité : Sécurisez votre cyberenvironnement pour protéger vos laboratoires, vos réseaux, vos dispositifs connectés et votre information.

• Utilisez un réseau privé virtuel (RPV) pour connecter vos dispositifs.
• Protégez les comptes et les dispositifs connectés de l’équipement de laboratoire au moyen de l’authentification multifacteur et optez pour des mots de passe ou des phrases de passe robustes.
• Accordez les droits d’accès et les privilèges système aux utilisateurs en fonction de leurs tâches.
• Désactivez les comptes des utilisateurs qui changent de fonctions ou qui quittent l’organisation.
• Remplacez le matériel désuet qui n’a pas d’adresse unique ou de journaux des événements ou qui n’est pas configurable.
• Chiffrez le stockage des dispositifs et les communications entre dispositifs.
• Recourez à une solution de surveillance des journaux qui surveille les journaux de nombreux dispositifs et systèmes et lance une alerte lorsque des anomalies sont détectées.
• Demandez aux responsables des TI de segmenter les réseaux en les divisant en plus petites zones de sorte à mieux contrôler les flux de trafic.
  • La segmentation permet aussi d’isoler et d’arrêter la propagation de maliciel dans différentes sections du réseau, ainsi que de contrôler et de restreindre l’accès aux renseignements.
• Intégrez les normes de cybersécurité et de sécurité des données aux ententes de service conclues avec vos fournisseurs.
• Assurez-vous que chaque fournisseur de la chaine d’approvisionnement a en place de contrôles de cybersécurité robustes.
• Examinez les politiques de vos fournisseurs en matière de gestion des données et de sécurité, et déterminez l’endroit où vos données seront stockées et la façon dont elles seront traitées.

Protégez vos renseignements : Vos données de grande valeur doivent être à l’abri des auteurs de menace.

• Chiffrez vos données qui se trouvent dans vos réseaux, vos systèmes ou dans le nuage.
• Faites régulièrement des copies de sauvegarde de vos données dans des lieux de stockage hors site qui ne sont pas accessibles à partir de vos réseaux ou de vos connexions Internet.
• Instaurez un système de classification des données pour que les systèmes de secours puissent établir facilement la distinction entre les données de grande valeur et les autres données.

Gérez vos biens : Dites-vous que le matériel médical et les données sont des biens de l’organisation et protégez-les en conséquence.

• Élaborez une stratégie de gestion du cycle de vie qui comprend la planification et la budgétisation pour l’acquisition de nouveau matériel de recherche et de logiciel connexe.
  • Viendra un moment où un certain dispositif de recherche ne sera plus pris en charge. En planifiant le remplacement du dispositif, vous contribuez à éviter les failles de sécurité informatique après son élimination.
• Vérifiez les dispositifs Web et connectés à Internet. Assurez-vous d’appliquer régulièrement les correctifs et les mises à jour pour corriger les vulnérabilités.

De quels éléments dois-je tenir compte au moment de faire l’acquisition de nouveau matériel?

Les lignes directrices du National Institute of Standards and Technology (NIST) des États-Unis recommandent aux gestionnaires de laboratoire de tenir compte des fonctions ou des capacités suivantes lorsqu’ils font l’acquisition de dispositifs connectés au réseau :

• Identification : Le dispositif doit avoir sa propre adresse dans les réseaux.
• Configuration : Un gestionnaire de laboratoire doit pouvoir accéder facilement aux configurations de sécurité (logiciel, micrologiciel et réglage) et les modifier.
• Protection des données : Le chiffrement doit être intégré au dispositif pour le protéger contre les accès et les modifications non autorisés.
• Interfaces réseau limitées : L’authentification doit être obligatoire pour accéder au dispositif, ce qui limite l’accès aux réseaux locaux et étendus.
• Mises à jour du logiciel et du micrologiciel : Il doit y avoir une façon sécuritaire et configurable de mettre à jour le logiciel et le micrologiciel du dispositif, que ce soit automatiquement ou manuellement.
• Journalisation des événements : Le dispositif doit journaliser les événements de cybersécurité pour informer les gestionnaires de laboratoire des vulnérabilités et permettre une analyse criminalistique en cas de piratage.

Travail à distance

Le travail à distance a gagné en popularité pendant la pandémie, ce qui a eu pour effet d’augmenter l’exposition aux menaces et, par le fait même, de faciliter le travail des auteurs de menace. Les cybermenaces qui pèsent sur les installations de recherche se sont intensifiées, car les auteurs de menace peuvent exploiter les dispositifs personnels et les connexions non protégées pour accéder aux systèmes, aux données et au matériel du réseau de ces installations. Pour renforcer la sécurité de votre organisation alors que vos employés sont en télétravail, appliquez les conseils énumérés précédemment, mais assurez-vous surtout de brancher les dispositifs par l’entremise d’un RPV, d’appliquer les correctifs et les mises à jour aux logiciels, aux micrologiciels et aux systèmes d’exploitation et d’opter pour des mots de passe et des phrases de passe robustes. Pour obtenir d’autres conseils de sécurité sur le télétravail, consultez Conseils de sécurité pour les organisations dont les employés travaillent à distance (ITSAP.10.016) et Conseils de cybersécurité pour le télétravail (ITSAP.10.116).