La région Jämtland Härjedalen est située au centre de la Suède, bordant la Norvège à l’ouest. Avec une population d’environ 127 000 habitants, c’est l’une des plus petites des 21 régions suédoises. Mais en termes de territoire, c’est le troisième plus grand. Cette particularité en fait une région peu peuplée, caractérisée par de grands bois, des montagnes et de beaux lacs, avec près de la moitié de la population vivant dans la seule grande ville d’Östersund.

La région est responsable des soins de santé et dentaires des citoyens du Jämtland Härjedalen et le principal établissement de santé est l’hôpital d’Östersund, le seul de la région. Environ 3 000 employés travaillent dans le secteur régional de la santé et le système de dossiers médicaux Cambio COSMIC est l’un des principaux outils numériques conservant les informations relatives à la santé de tous les citoyens.

Alors que le secteur de la santé traverse une transformation numérique rapide et que les dossiers médicaux à constituent le cœur même de l’information dans les hôpitaux, le volume de données sensibles ne cesse d’augmenter. En parallèle, le nombre d’utilisateurs accédant à des données sensibles augmente lui aussi et les hôpitaux s’appuient de plus en plus sur des appareils, des systèmes et des applications en réseau pour fournir des soins efficaces.

À mesure que la complexité augmente, le risque de cyberattaques pouvant perturber des services vitaux ou de violations pouvant impacter la vie privée augmente également. Dans la région de Jämtland Härjedalen, la conservation des dossiers médicaux contenant des informations personnellement identifiables (Personally Identifiable Information) et sensibles de 127 000 citoyens exige des normes élevées. La loi suédoise sur les données des patients protège l’intégrité des citoyens en autorisant uniquement les professionnels de santé qui entretiennent une relation de soins active avec le patient à accéder à son dossier médical.

Verrouiller tous les dossiers et fournir un accès sur la base du ‘besoin-de-savoir’ (need-to-know) n’est pas durable car il est impossible de prédire à quels dossiers les professionnels de santé pourraient avoir besoin de consulter en cas d’urgence. Par conséquent, l’information doit être accessible à ceux qui pourraient en avoir besoin, mais le contrôle avec des audits d’accès doit donc être très rigoureux.

Sachant que dans de nombreux cas, l’accès indésirable aux dossiers médicaux est involontaire, accidentel ou dû à une mauvaise utilisation des systèmes, il est essentiel de développer des méthodes préventives pour améliorer le respect de la loi sur les données des patients (Patient Data Act). La collecte de données d’audit sur l’utilisation des systèmes de dossiers médicaux et l’identification des tendances en matière de violations d’accès potentielles sont nécessaires pour prévenir de futures violations, avoir un impact sur le comportement des utilisateurs et promouvoir les meilleures pratiques pour une utilisation plus efficace des données des patients.

Lars Christerson est Information Security Officer de la région Jämtland Härjedalen. Il dirige une équipe de sécurité et de protection des données composée de cinq personnes, notamment des ressources juridiques. L’équipe utilise la solution Logpoint SIEM pour collecter, agréger et analyser les données de sécurité au niveau de l’ensemble de l’infrastructure, y compris les contrôleurs de domaine, les serveurs Web et d’autres éléments critiques du réseau régional.

La solution Logpoint SIEM collecte, catégorise et analyse les données des logs pour identifier les potentiels incidents et événements en matière de cybersécurité. Basée sur des règles prédéfinies, elle fournit des alertes en temps réel et présente des informations de sécurité à l’équipe responsable de la protection des données via des tableaux de bord visuels ou des rapports fournis à intervalles réguliers.

« La solution Logpoint SIEM nous permet de surveiller en permanence l’état de notre infrastructure et de fournir des alertes si un évènement inhabituel devait se produire. De plus, elle nous fournit les outils nécessaires pour approfondir un incident et déterminer s’il s’agit d’un problème technique, d’une erreur de l’utilisateur ou bien d’une véritable violation de la sécurité », explique Lars Christerson.

La solution Logpoint SIEM collecte également les données de log du système de dossiers médicaux COSMIC dans des pistes d’audit pour un traitement ultérieur et fournit des rapports aux cadres de santé. Pour ce faire, Jämtland Härjedalen utilise le module Logpoint Applied Analytics, pour rendre les données d’audit sur l’accès aux dossiers des patients disponibles pour un groupe plus large et non technique d’administrateurs locaux. Ils peuvent surveiller l’accès aux dossiers des patients, effectuer des recherches ciblées, évaluer les incidents et utiliser les données pour aider à améliorer le comportement des utilisateurs et développer les meilleures pratiques concernant l’utilisation des dossiers médicaux. Les meilleures pratiques pour les règles prédéfinies et les tableaux de bord pour l’accès aux dossiers des patients ont été développées en collaboration avec la région Värmland, qui est également un utilisateur de Logpoint. “Working with a mix of cluster sampling, predefined non-compliance rules, and dashboards showing aggregated outcomes, we get distinct views of the access patterns. The option to drill down in specific cases increases our ability to evaluate violations and anomalies and helps us understand user behavior. This allows us to improve our ways of working and help develop best practices for medical record platforms. In that way, Applied Analytics has helped us evolve from ’policing’ users in a direction towards a quality improvement mission”, says Lars Christerson.

« En utilisant des règles automatisées pour le filtrage des logs, nous pouvons réduire le nombre de faux positifs concernant les violations potentielles. L’ajout d’un niveau de sévérité avec des règles permet de filtrer les incidents afin d’identifier et de prioriser les cas où une véritable violation aurait été trouvée. Cette possibilité fait gagner un temps précieux ».

Avec la solution Logpoint SIEM et le module Applied Analytics, la région Jämtland Härjedalen peut surveiller son infrastructure IT, se conformer à la loi suédoise sur les données des patients et fournir aux citoyens un accès rapide et facile aux informations concernant les personnes qui ont eu accès à leurs dossiers médicaux. Logpoint permet une détection et une réponse accélérées aux incidents de cybersécurité et contribue à protéger les droits à la vie privée des citoyens.

« Comme les informations de sécurité étaient auparavant dispersées au niveau de plusieurs systèmes et que nous devions parcourir manuellement les logs, l’analyse des données était auparavant une tâche fastidieuse et chronophage. De plus, ces actions étaient le plus souvent déployées en réponse à un problème et non de manière proactive. Cette manière de procéder a maintenant changé car Logpoint SIEM filtre et analyse automatiquement les logs en temps réel et nous avertit des problèmes qui nécessitent toute notre attention », déclare Lars Christerson.

« En utilisant Logpoint Applied Analytics pour automatiser les rapports concernant des groupes cibles spécifiques, nous pouvons répondre à des besoins bien particuliers. Un bon exemple est un patient demandant un résumé des accès à ses dossiers. Ces données sont désormais disponibles pour les citoyens via le portail numérique public en libre-service 1177.se, permettant ainsi aux citoyens d’accéder à leurs informations en ligne à l’aide de leur identifiant BankID standard », déclare Lars Christerson.

L’utilisation de Logpoint a augmenté la transparence et réduit le temps consacré à la création de rapports dans la région Jämtland Härjedalen. De plus, des projets sont en cours pour ajouter plus de sources de log afin d’obtenir un aperçu encore plus précis de la sécurité sur le réseau.

« Nous étudions le potentiel du module Logpoint UEBA et de l’apprentissage automatique (ML) avancé pour accroître la sécurité en ajoutant des analyses comportementales à notre boîte à outils de sécurité. Nous pensons qu’il existe un énorme potentiel dans les capacités de collecte et d’analyse de données proposées par la solution Logpoint. De telles capacités pourrait potentiellement être utilisées pour améliorer la sécurité des patients ou la qualité des tests, ce qui est une perspective passionnante », déclare Lars Christerson.