En ce qui concerne la sécurité des applications mobiles de soins de santé, les prestataires ont toutes les raisons d'être inquiets. Selon une une étudeprès de 40 % des organismes de santé ont été victimes d'une compromission impliquant un appareil mobile au cours de l'année écoulée. La même étude a révélé que 93 % des professionnels de la santé pensent que les organisations doivent prendre la sécurité des appareils mobiles plus au sérieux.

Le paysage des soins de santé connectés est truffé de vulnérabilités. Selon le cabinet KLASla confidentialité et la sécurité sont de loin les principales préoccupations des prestataires de soins de santé en ce qui concerne les applications tierces. Alors que de plus en plus d'applications mobiles de santé et d'appareils médicaux IoT font leur apparition, la surface d'attaque s'étend de manière exponentielle.

Qu'est-ce que cela signifie pour les développeurs d'applications dans le domaine de la santé ?

Les cyberattaques dans le secteur de la santé étant de plus en plus fréquentes, les réglementations se renforcent et les développeurs qui font de la sécurité une priorité en tirent un avantage. En prenant la sécurité au sérieux dès le premier jour, vous vous assurez que votre application résistera à l'éventualité (très probable) d'une cyberattaque dans le secteur de la santé. Si votre application accède à des informations de santé protégées (PHI), il est essentiel qu'elle fonctionne de manière sûre et fiable sur n'importe quel appareil.

Sur le marché actuel de la santé, la sécurité automatisée et intelligente des applications est un argument de vente unique pour les développeurs d'applications.

Créer des applications mobiles de soins de santé qui respectent la conformité et résistent aux évaluations de sécurité

Les outils et les technologies qui composent l'écosystème connecté des soins de santé d'aujourd'hui comblent le fossé entre le cybermonde et le monde physique de manière sans précédent. Pour le secteur de la santé, cela signifie que les répercussions d'une cyberattaque ne sont plus seulement numériques ou monétaires - elles peuvent désormais mettre la vie en danger. Que vous développiez une application pour améliorer l'efficacité clinique ou un dispositif IoMT pour surveiller la biométrie, vos outils doivent être sécurisés pour garantir la sécurité des patients.

La conformité à l'HIPAA et la réussite des évaluations de sécurité ne sont que la partie émergée de l'iceberg lorsqu'il s'agit de cybersécurité dans le secteur de la santé. Un certain niveau de protection des données est exigé par la loi, mais comme la technologie évolue rapidement et que les pirates informatiques deviennent de plus en plus sophistiqués, les réglementations peinent à suivre.

Alors que les entités concernées sont confrontées au fait que la conformité réglementaire suffit à éviter les amendes mais ne suffit pas à prévenir les attaques, les normes de leurs propres évaluations de sécurité deviennent chaque année plus strictes pour les développeurs d'applications.

Le plus gros problème de la [cybersécurité des soins de santé] est qu'il s'agit d'une cible mouvante... Quelqu'un trouve une vulnérabilité et il y a de nouvelles exigences... [Le respect des normes de sécurité] devient plus difficile, pas plus facile".

Curt Bashford

Curt Bashford

Président et directeur général. Appareils généraux

Vulnérabilités liées à l'utilisation d'un appareil personnel (BYOD)

Alors que le secteur de la santé subit chaque année un nombre croissant de cyberattaques, les développeurs qui accordent la priorité à la sécurité bénéficieront d'un avantage concurrentiel sur le marché médical. La protection des applications devient de plus en plus précieuse pour les organismes de santé et les développeurs, surtout si l'on tient compte des politiques "Bring-Your-Own-Device" (BYOD) de nombreuses entités couvertes.

Les applications médicales mobiles sont susceptibles d'être installées et utilisées sur les appareils personnels des infirmières, des médecins et des autres membres du personnel des organismes de santé appliquant des politiques BYOD. Pour de nombreuses entités couvertes, le BYOD constitue un obstacle supplémentaire à surmonter en matière de sécurité, Pour de nombreuses entités couvertes, le BYOD constitue un nouvel obstacle à la sécurité, mais pour les développeurs d'applications, il peut s'agir d'une occasion unique de répondre au plus grand point de douleur d'un client.t.

BYOD et protection des applications

Si certaines entités couvertes fournissent des appareils à leur personnel, la plupart d'entre elles mettent en œuvre le BYOD. D'ailleurs, Aruba Networks a constaté que 85 % des entités couvertes soutiennent l'utilisation d'appareils personnels sur le lieu de travail.

Qu'est-ce que cela signifie lorsqu'il s'agit de vendre votre application à des organismes de santé qui utilisent le BYOD ? Il ne fait aucun doute que vous avez développé votre application pour rendre les soins aux patients plus efficaces, plus pratiques et plus précis, tant pour les prestataires que pour les patients. La protection des applications vous aide à atteindre vos objectifs en facilitant la mise en œuvre et la maintenance de vos outils pour les entités couvertes..

Le téléchargement d'une application médicale mobile non protégée (ou sous-protégée) sur un appareil personnel comporte des risques inhérents, en particulier lorsqu'il s'agit d'accéder aux données des patients. Les DSI s'inquiètent de la perte ou du vol des appareils personnels, des téléphones jailbreakés ou rootés, des logiciels malveillants et des fuites de données. Ces menaces nécessitent une solution de sécurité solide pour cloisonner et protéger les données sensibles sur les appareils qui n'appartiennent pas à l'organisation. En l'absence de sécurité dès la conception et d'une protection adéquate intégrée aux applications de santé, les entités couvertes sont obligées d'acheter des solutions de gestion des appareils mobiles (MDM) pour assurer la sécurité des données.

Cependant, le MDM est souvent coûteux, compliqué et peu pratique. Il est beaucoup plus facile pour les entités couvertes de télécharger des applications fiables et sécurisées que d'essayer de contrôler des appareils qu'elles ne possèdent pas..

Protection des applications et gestion des appareils mobiles

Les plans MDM d'entreprise sont complexes, et l'évaluation des besoins précis en matière de sécurité d'une organisation de soins de santé peut être un cauchemar. Si de nombreux infirmiers et médecins apprécient d'utiliser leurs propres appareils pour le travail, ils ne veulent pas que leurs smartphones et tablettes personnels soient contrôlés par leur employeur. De plus, les utilisateurs finaux ne respectant pas les procédures de mise à jour et de sauvegarde présentent d'importantes lacunes en matière de sécurité.

En résumé, le BYOD offre une facilité d'utilisation et réduit les coûts, mais la sécurité avec le MDM est loin d'être idéale.

La protection des applications offre une meilleure alternative en comblant les lacunes de sécurité et en donnant aux entités couvertes la possibilité de séparer les applications personnelles du contrôle de l'entreprise. Grâce à une sécurité forte et automatisée dès la conception, vous permettez aux entités couvertes de mettre en bac à sable les applications et les données de l'entreprise afin de garantir qu'elles sont transmises en toute sécurité, ce qui réduit le risque de violation. Vous pouvez également gérer et mettre à jour ces applications à distance. La conteneurisation limite le partage des données, de sorte que les utilisateurs peuvent installer les applications personnelles qu'ils souhaitent.

Sécurité automatisée dans l'application pour préserver la sécurité des données

La création d'une application dotée de techniques de sécurité intelligentes telles que le cryptage des données au repos et en transit, la technologie anti-tamper et l'obscurcissement du code évite aux hôpitaux et autres organismes de soins de santé d'avoir à acheter des solutions MDM coûteuses.

Cryptage

Le cryptage est essentiellement une mesure de sécurité qui protège les données privées et personnelles d'un patient à l'aide de codes uniques qui brouillent les informations et les rendent impossibles à lire pour les intrus. Il est ainsi beaucoup plus difficile pour les pirates d'accéder aux données sensibles des utilisateurs qui circulent vers et depuis votre application.

Technologie anti-sabotage

Lorsque cette technologie automatisée est à l'œuvre dans une application, vous pouvez avoir la certitude que votre code s'exécute exactement comme vous l'avez prévu. Cette méthode de sécurité contrecarre les tentatives d'un pirate de modifier le code de votre application et l'ensemble de l'application. Elle garantit que les autres protections restent intégrées à l'application et qu'un pirate ne cherche pas à comprendre son fonctionnement. Cela permet également de s'assurer qu'une propriété intellectuelle précieuse n'est pas reconditionnée ou utilisée hors contexte.

Obfuscation du code

Afin d'empêcher la falsification et de décourager la rétro-ingénierie, l'obscurcissement dissimule votre code et le rend indéchiffrable pour les attaquants potentiels. Faire de la sécurité une priorité dès le départ montre que vous comprenez les points de douleur uniques du marché des soins de santé connectés, prouve que vous êtes empathique aux expériences de vos clients et les aide même à économiser de l'argent à long terme.

Tout le monde y gagne : sécurité pour les développeurs, les patients et les organismes de santé

Il serait erroné de penser que les développeurs n'ont rien à craindre lorsque leur application est vendue à un organisme de santé. Les développeurs savent que les accords d'association commerciale (Business Associate Agreements - BAA) les tiennent pour responsables de toute cyberattaque résultant d'une faille de sécurité.

En vertu de la loi HIPAA, toute entreprise exerçant des fonctions pour le compte d'une entité couverte et nécessitant l'accès à des informations personnelles sur la santé doit conclure un BAA. Dans de nombreux cas, cela signifie que le paiement de lourdes amendes peut venir de votre portefeuille en cas de violation. C'est pourquoi de nombreux développeurs estiment que les BAA les exposent et les rendent vulnérables.

Étant donné que votre activité est en jeu lorsque vous concluez un BAA avec une entité couverte, il est préférable de faire confiance à votre propre sécurité intelligente plutôt qu'à la sécurité du réseau d'un organisme de soins de santé ou à une solution MDM défectueuse.

Une sécurité automatisée et intelligente dès la conception est une solution gagnant-gagnant-gagnant - une protection appropriée des applications protège votre entreprise, les prestataires de soins de santé et leurs patients. Si vous voulez protéger votre entreprise et éviter les amendes réglementaires, il est essentiel d'adopter une approche proactive de la sécurité.

La politique de l'autruche n'est pas une stratégie de sécurité. L'application mobile moyenne est composée à plus de 50 % de matériel tiers provenant de fournisseurs externes, et il existe de nombreuses zones grises floues concernant les accords commerciaux avec ces fournisseurs".

Brian Lawrence

Directeur de l'ingénierie des solutions, NowSecure

Protégez votre entreprise et vos clients avec App Shielding

Alors que vous vous apprêtez à créer et à monétiser des applications de santé révolutionnaires, faites de la sécurité votre point de départ. App Shielding préservera l'avenir de votre entreprise, sécurisera les données précieuses des patients et, en fin de compte, fera de vous un concurrent solide sur le marché médical.