Secteur de la santé : pourquoi les sauvegardes et restaurations sont-elles essentielles ?

De la prise de rendez-vous à la rédaction des ordonnances, les données jouent un rôle essentiel tout au long du parcours de soins d'un patient. Le point de contact initial d'un patient commence généralement par la prise d'un rendez-vous, qui nécessite des données démographiques et des données sur les antécédents médicaux, constituant l'historique détaillé des examens passés du patient. Tout au long de la prise en charge d'un patient, les dossiers de santé électroniques (DSE), les résultats d'analyse, les ordonnances électroniques et d'autres données cliniques entrent en compte dans son diagnostic et son protocole de traitement.

Il est important de noter que les données de santé ne se limitent pas aux dossiers médicaux électroniques, il s'agit également des identifiants dans les informations de santé personnelles (PHI, Personal Health Information), contenant des informations de carte de crédit, des adresses et des numéros de téléphone.

Les prestataires de soins s'appuient sur des informations critiques pour prendre des décisions éclairées lorsqu'ils évaluent, analysent, diagnostiquent et traitent des patients, et les prennent en charge après leur traitement. Les dossiers de santé électroniques et les informations de santé personnelles sont ainsi des cibles de choix pour les cybercriminels qui lancent des attaques de ransomware en direction des organisations du secteur de la santé : par exemple, le groupe à l'origine du ransomware Akira a revendiqué avoir fait de nombreuses victimes en 2023, exigeant des paiements allant jusqu'à 4 millions de dollars.

L'un des aspects les plus perturbants du ransomware est la perte de données, qui impacte négativement la qualité, les performances et la fourniture des services de santé. En outre, les catastrophes naturelles telles que les ouragans, les tremblements de terre, les tempêtes de neige et les inondations entraînent des pertes de données qui se traduisent par des dommages opérationnels, financiers et d'atteinte à la réputation. Les organisations de santé modernes mettent en place des solutions de protection des données, par exemple la sauvegarde et la reprise après sinistre, pour lutter contre les événements imprévus, atténuer les risques de perte de données et garantir la continuité des soins de qualité aux patients.

Dans cet article, nous allons explorer l'importance de la sauvegarde et de la restauration, fournir des conseils pour mettre au point une stratégie de sauvegarde complète et couvrir les bonnes pratiques pour la sauvegarde et la restauration dans le secteur de la santé.

Pour les services de santé modernes, les solutions de sauvegarde et de restauration ne peuvent faire l'objet de compromis lorsqu'il s'agit de défendre l'infrastructure informatique et les informations des patients. L'objectif principal de la sauvegarde des données est de garantir qu'une copie des données de santé est créée et stockée ailleurs. Les données peuvent ensuite être restaurées en cas de piratage, de catastrophe naturelle ou de perte.

Les données de santé comprennent à la fois des données de type structuré et non structuré. Les données structurées sont de nature quantitative et peuvent être facilement formatées pour collecter des informations démographiques, des signes vitaux, des résultats d'analyse, des médicaments, etc. Les données structurées présentent généralement des résultats définis qui peuvent être facilement interprétés par les professionnels de santé. À l'inverse, les données non structurées sont des informations non définies qui nécessitent une mise en contexte, une extraction et une visualisation plus poussées pour en interpréter le sens. Les données non structurées comprennent les radiographies, les images médicales, les vidéos et les notes cliniques écrites et audio.

Selon le National Center for Biotechnology Information (NCBI), près de 80 % des données de santé restent non structurées. Cette catégorie de données est difficile à surveiller, à suivre et à sécuriser en raison des différents formats destinés à être diffusés avec facilité au sein d'e-mails et de documents. Il est de plus en plus difficile d'organiser et de gérer des données non structurées, ce qui rend les solutions de sauvegarde essentielles à la protection.

À quelle fréquence les organisations de santé devraient-elles effectuer des sauvegardes ? Les principaux facteurs influençant la fréquence et l'étendue des sauvegardes de données de santé concernent la conformité réglementaire, citons la loi sur la portabilité et la responsabilité des assurances-maladie, la criticité des informations personnelles identifiables (PII, Personally Identifiable Information) et la capacité d'une solution à effectuer des sauvegardes automatiques.

Les cyberattaques, les violations de données et les catastrophes naturelles entraînent des conséquences financières, juridiques et sur la réputation des hôpitaux et des établissements de santé. Ces répercussions contribuent minent la confiance des patients et celle des différents acteurs. Outre des mesures proactives de cybersécurité, les administrations de santé et les professionnels de la sécurité informatique devraient collaborer en vue d'élaborer une stratégie globale de sauvegarde des données.

Chez Acronis, la création d'une stratégie de sauvegarde complète se déroule en quatre étapes.

En matière de cybersécurité, on dit souvent que « l'on ne peut pas protéger ce dont on ignore l'existence » ; cette même phrase s'applique aux données relatives aux soins de santé. L'évaluation de la sensibilité des données permet de hiérarchiser les différentes informations à travers l'ensemble de l'organisation de santé afin de s'assurer que les données les plus précieuses pour les workflows et les processus ne puissent être perdues. Si l'absence de ces données fondamentales entraîne un arrêt des activités de l'organisation, elles sont probablement considérées comme cruciales et nécessitent des sauvegardes fréquentes.

Les options de stockage des sauvegardes disponibles sur le marché ne sont pas créées de manière égale. On distingue trois méthodes courantes de stockage des sauvegardes : sur site, hors site et hybride. Ces trois options de sauvegarde conventionnelles sont définies ci-dessous.

Le stockage local, également connu sous le nom de sauvegarde sur site, remplit de nombreuses fonctions dans le secteur des soins de santé. Dans le cadre de la sauvegarde sur site, les copies de données sont stockées sur des disques durs physiques et des supports qui séparent les sauvegardes des systèmes potentiellement à risque. Les copies restent sur site pour les rendre facilement accessibles aux personnes autorisées. L'avantage des sauvegardes sur site réside dans le fait qu'elles sont effectuées sur place, ce qui élimine certains des risques liés à l'exploitation, au vol et à la falsification des données. De plus, l'accès à Internet n'est pas nécessaire pour récupérer les données sur site et celles-ci peuvent être restaurées immédiatement.

Toutefois, l'un des principaux dangers réside dans le fait que la sauvegarde sur site est vulnérable face aux catastrophes naturelles. Si les serveurs sur site sont détruits par un incendie ou un autre événement catastrophique, l'organisation de santé pourrait perdre toutes les données collectées.

La sauvegarde hors site est un type de protection des données qui stocke une copie du système de production de l'organisme de santé dans un lieu géographique différent de celui du système de production. Pour la sauvegarde des données hors site, les données sont stockées sur un serveur hors site ou sur d'autres supports qui sont ensuite transférés vers un autre lieu ou le cloud.

Les sauvegardes hors site présentent l'avantage d'être évolutives, d'être rentables et de vous permettre d'accéder aux données sauvegardées où que vous soyez et quand vous voulez. Fondamentalement, contrairement aux sauvegardes sur site, les sauvegardes hors site restent à l'abri des catastrophes naturelles et les données sauvegardées ne seront pas impactées par les tempêtes, les incendies, les inondations ou une catastrophe au sein même de l'établissement de santé.

Cependant, les sauvegardes hors site s'accompagnent de quelques inconvénients. Les sauvegardes dans le cloud peuvent ralentir la vitesse du réseau lorsque les informations sont copiées et stockées. Il est recommandé aux organisations de santé de planifier les sauvegardes à des moments stratégiques afin d'éviter toute interruption dans les opérations quotidiennes. Un autre inconvénient des sauvegardes dans le cloud est la perte de contrôle lors du recours à un fournisseur tiers de stockage dans le cloud. Les données de l'organisation et des patients ne seront plus sous le contrôle total de l'organisation. Il est donc impératif de s'atteler à des recherches pour sélectionner le bon fournisseur de stockage cloud afin d'assurer la sécurité des sauvegardes. Avec la bonne solution de sauvegarde hors site, la protection contre les ransomwares empêche les cyberattaques et, en cas d'attaque, les données peuvent être restaurées telles qu'elles étaient avant l'attaque par ransomware.

Renseignez-vous sur les solutions de sauvegarde et restauration Acronis Cyber Protect pour découvrir la protection des données dans les environnements physiques, virtuels, cloud et mobiles des organisations.

Les solutions de sauvegarde hybrides combinent les avantages des stratégies de sauvegarde sur site et hors site pour davantage de résilience. Les deux méthodes de sauvegarde fonctionnent en tandem pour fournir un accès rapide aux données grâce aux sauvegardes sur site et assurer une meilleure cyberprotection et une reprise après sinistre grâce aux sauvegardes hors site. Les prestataires de soins de santé prennent alors l'avantage, car ils peuvent ainsi accéder rapidement aux données critiques restaurées en cas d'urgence, sans compromettre la sécurité des référentiels de sauvegarde.

Il est important de garantir la conformité réglementaire pour éviter de lourdes amendes et assurer le niveau le plus élémentaire de protection des données. L'ANS, la CNIL, la CPAM et le règlement général sur la protection des données (RGPD) imposent des mesures, des pratiques et des exigences de sécurité pour préserver la confidentialité et la sécurité des informations sur les patients. Le non-respect de ces réglementations peut entraîner des actions en justice, des amendes et des dommages à la réputation.

La continuité et la reprise des activités après sinistre ne sont plus considérées comme un domaine isolé de la sécurité. En d'autres termes, la sauvegarde, tout comme la continuité et la reprise des activités après sinistre font partie intégrante des établissements de santé. Les professionnels de l'informatique et les administrations qui ont conscience de la valeur des solutions garantissant la continuité des activités et comprennent les stratégies de cybersécurité, de sauvegarde et de reprise après sinistre doivent s'entendre pour fournir des résultats favorables et des soins de qualité aux patients. De plus, aligner les objectifs de délai de restauration (RTO) et les objectifs de point de restauration (RPO) avec la sauvegarde et la restauration permet de prioriser les efforts de restauration adaptés aux organisations de santé qui minimisent l'impact sur les opérations et favorisent une continuité inégalée.

Pour qu'un plan de reprise d'activité après sinistre soit réellement efficace, les données sauvegardées doivent être stockées dans un endroit éloigné du site principal : l'établissement de santé. Il est recommandé que le centre de données qui abrite la sauvegarde se trouve à plus de 250 kilomètres de l'installation. Cela permet de protéger les données de santé en minimisant l'impact des catastrophes, comme les pannes et les tempêtes.

En menant des tests réguliers visant à évaluer l'efficacité d'un plan de reprise après sinistre, vous garantissez la fonctionnalité des processus, procédures, systèmes et technologies de reprise d'activité en cas d'urgence. La reprise d'activité après sinistre exige des efforts de collaboration et implique une équipe d'experts qui accomplissent des tâches spécifiques. Établir une checklist pour guider le personnel lors d'exercices de simulation de reprise permet de détecter de manière proactive les failles dans les procédures de reprise, de confirmer le niveau de préparation de l'organisation et de donner aux équipes informatiques l'occasion de travailler sur les points faibles de la reprise.

Une culture d'entreprise qui privilégie la protection des données est un véritable atout qui met en lumière l'importance de former le personnel. Cela renforce le niveau de préparation de l'organisation de santé face aux catastrophes si, pour une raison quelconque, les individus responsables de tâches spécifiques pour la reprise d'activité après sinistre sont absents. Lorsque le personnel peut intervenir en cas d'urgence liée aux données, l'organisation peut atténuer les facteurs humains qui conduisent à l'échec de la reprise après sinistre.

La qualité des données des patients joue un rôle monumental dans les performances globales, les normes de soins et le retour sur investissement (ROI) des organismes de santé. Les données des patients fournissent aux praticiens et aux professionnels de la santé les informations clés dont ils ont besoin pour établir des diagnostics et élaborer des protocoles de traitement personnalisés. Les prestataires de santé doivent donner la priorité au respect de la vie privée, à la protection et à l'intégrité des données afin de renforcer la confidentialité, la sécurité et la confiance des patients. Maintenir l'intégrité des données est également vital pour la précision et la fiabilité des dossiers de santé. En essence, ces qualités sont directement liées à l'expérience du patient.

La sauvegarde et la restauration efficaces des données demeurent une composante essentielle du secteur de la santé. On n'insiste jamais assez sur l'importance de suivre les bonnes pratiques à cet égard, car les données sont interconnectées à tous les niveaux des soins apportés aux patients. Dans des circonstances malheureuses, la capacité de restaurer des données sauvegardées change la donne pour les professionnels de santé, en particulier dans les situations d'urgence médicale. Les solutions de sauvegarde et de restauration viennent consolider les efforts déployés en faveur de la sécurité des données par votre organisation de santé afin de responsabiliser les prestataires et d'assurer la fourniture des soins aux patients.