Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus

Gouvernance des données dans le secteur de la santé : guide complet

De tous les marchés verticaux qui ont besoin d’une politique complète de gouvernance des données, celui de la santé est probablement celui qui arrive en tête. Songez à l’immense quantité...
Michael Buckbee
5 minute de lecture
Publié 7 novembre 2019
Dernière mise à jour 28 octobre 2021

De tous les marchés verticaux qui ont besoin d’une politique complète de gouvernance des données, celui de la santé est probablement celui qui arrive en tête. Songez à l’immense quantité de données de santé associées à tout être humain, au caractère personnel des données médicales et à l’issue favorable ou fatale qui dépend de l’exactitude de ces données. On comprend que la gouvernance des données soit de la plus haute importance dans le secteur de la santé.

En quoi la gouvernance des données est-elle importante dans le secteur de la santé ?

Dire que la gouvernance des données est importante dans le domaine de la santé semble une évidence, mais qu’entend-on exactement par gouvernance des données ?

La gouvernance des données est le processus et la procédure suivis par les organisations pour gérer et protéger leurs données. Dans ce contexte, les données peuvent désigner soit la totalité soit un sous-ensemble des actifs numériques et/ou imprimés d’une entreprise. Dans le secteur de la santé, ces données correspondent aux dossiers des patients, résultats d’analyses sanguines, électrocardiogrammes, IRM, factures, ordonnances et autres informations médicales confidentielles.

Les données médicales sont les données dont ont besoin les professionnels de la santé pour prendre des décisions informées sur les soins à apporter à leurs patients. La gouvernance des données apporte aux établissements de santé une méthode de partage des données médicales à la fois normalisée et structurée, afin d’offrir des soins de la plus haute qualité à chaque patient.

En France, les données de santé ont été définies en avril 2016 par la législation de l’Union européenne comme étant des « données à caractère personnel relatives à la santé mentale et physique d’une personne, y compris la prestation de services de soins de la santé qui révèlent une information sur l’état de santé de la personne (…) présent, passé et futur ». Par donnée de santé, le règlement européen entend « toute information concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source ».

types of data in healthcare santé

Aux États-Unis, Le Health Insurance Portability and Accountability Act (HIPAA) est la loi qui concerne la sécurité et la confidentialité des informations médicales ou, dans le langage de l’HIPAA, les informations de santé protégées (PHI). D’après la loi, « les entités couvertes », principalement les hôpitaux, assurés et organisations qui traitent les PHI pour eux, ont la responsabilité légale d’assurer la protection des informations de santé protégées.

De nombreuses infrastructures de santé en France choisissent de se conformer à cette réglementation venant d’outre Atlantique car elle relève de bonnes pratiques de gourvernance et de sécurisation des données.

En 2018, les amendes de l’HIPAA ont coûté 28 millions de dollars au secteur de la santé à lui seul. L’Office of Civil Rights (OCR) prélève les amendes pour non-respect de l’HIPAA en fonction du nombre d’enregistrements de PHI exposés, en tenant compte du niveau de conformité de l’organisation contrevenante dans sa demande. Les amendes liées à l’HIPAA et les autres exigences réglementaires de remédiation et d’audit contribuent à faire du coût global des violations du secteur de la santé un des plus élevés de tous les secteurs.

Autrement dit, plus votre plan de gouvernance des données est efficace et moins l’amende à payer en cas de violation sera élevée. Et c’est tout aussi valable sur le territoire français sous l’égide du RGPD !

Vulnérabilités des données de santé

Voici quelques idées à méditer en matière de gouvernance :

  • Une bonne gouvernance des données et une analyse de haute qualité devraient occuper une place clé dans toute stratégie métier appliquée dans le secteur médical. Vous réduisez les risques (amendes et autres sanctions), et vous améliorez votre compréhension (et le perfectionnement) des workflows de données sous-jacents : le traitement gagne en efficacité.
  • D’après le Stanford Medicine 2018 Health Trends Report, l’automatisation et le partage de données ont le potentiel de révolutionner le secteur de la santé pour le meilleur. Stanford imagine un monde dans lequel l’intelligence artificielle analyse vos données médicales et vous fournit un diagnostic par téléphone portable. Toutefois, pour en arriver là, les établissements de santé (universités, hôpitaux, centres de recherche et entreprises technologiques) doivent adopter le même langage de données et celles-ci doivent circuler librement et en toute sécurité dans tout le système de santé.
  • La croissance exponentielle des données électroniques de santé et les récentes fusions et acquisitions du secteur (Aetna et CVS) sont à la source d’un immense défi à relever en matière de gouvernance des données. La gestion d’un volume de données toujours plus important et la fusion d’ensembles de données hétérogènes sont des problèmes complexes. Les entreprises qui traiteront bien leurs données réussiront et feront des bénéfices.

Quelle est la différence entre gouvernance des données et gouvernance des informations dans le secteur de la santé ?

Dans le secteur médical, la gouvernance des données diffère légèrement de la gestion des informations, en dépit de l’utilisation interchangeable des deux termes jusqu’à présent dans cet article. Du point de vue cybersécurité/conformité, il est plus simple de considérer qu’il s’agit de la même chose.

Appliquée au médical, la gouvernance des données s’applique à chacune des données individuelles : identifiant du patient, tension artérielle, etc. Elle consiste à protéger, sécuriser et réunir avec précision chacune des données.

Dans le domaine de la santé, la gouvernance des informations désigne le processus et les systèmes qui permettent d’utiliser les données de manière à prendre des décisions sur les soins à apporter au patient.

Par exemple, la tension artérielle relevée pour un patient au cours des deux dernières années s’inscrit dans la gouvernance des données.

data governance vs information governance

Par contre, il y a gouvernance des informations lorsqu’un médecin, ou une intelligence artificielle, réunit les relevés de pression sanguine du patient sur les deux dernières années et les utilise pour lui diagnostiquer une hypertension et lui conseiller un traitement adapté.

Tout est une question de nuance, mais si vous parlez à un professionnel de la santé de ses projets de gouvernance des données, il est bien possible qu’il s’attende à parler de gouvernance des informations.

Étapes à suivre pour mettre en place une gouvernance efficace des données dans le secteur de la santé

Voici par où commencer pour lancer votre projet de gouvernance des données.

steps to implement strong data governance in healthcare

1.Déterminez où vos informations de santé protégées sont conservées

Catégorisez et classez votre système de fichiers pour découvrir où se trouvent vos informations de santé protégées. Il est impossible de protéger ce que l’on ne connaît pas. Déterminez les droits des dossiers et fichiers de tout votre stockage de données. Effectuez une recherche dans chacun des fichiers pour savoir s’il contient des informations de santé protégées et, si c’est le cas, marquez-le comme sensible.

Établissez des relations de corrélation entre toutes ces données – vos structures de droits et les données sensibles classifiées – et établissez un profil de risque complet. Vous utiliserez ce profil de risque pour poursuivre le processus de gouvernance des données.

2.Réévaluez les droits d’accès

Un des objectifs de tout programme de gouvernance des données est d’appliquer un modèle de moindre privilège. Lorsqu’un modèle de moindre privilège est en place, chaque utilisateur (personne ou compte de service) possède seulement les droits dont il a besoin pour faire son travail.

Avant de pouvoir faire du nettoyage dans les droits, il peut être nécessaire de retirer les groupes à accès global et de corriger les problèmes d’héritage. Faites-le avant de commencer à modifier les droits ou les affectations aux groupes.

Une fois que vous avez mis en place un modèle de moindre privilège, vous devez vous y tenir. Mettez en place un processus accordant aux propriétaires de données le pouvoir de contrôler leurs données, et donnez-leur la possibilité d’ajouter et retirer des accès selon les besoins et de contrôler les droits régulièrement.

Téléchargez un Livre-Blanc sur la stratégie de sécurité Zero Trust, portée par Forrester Research, et les plus importantes sociétés de cybersécurité

"La question n’est pas de savoir « si » l’entreprise sera piratée, mais « quand ». Préparez-vous avec le Zero trust"

3.Supprimez les données obsolètes

Un des principaux risques associés aux données non structurées réside dans les données qui ne sont plus utilisées ou nécessaires : les données obsolètes. Les données obsolètes sont d’excellentes cibles pour les voleurs de données. Alors faites en sorte de trouver ces données oubliées, de les verrouiller et, si possible, de les supprimer de vos dépôts de données.

4.Identifiez et formez les employés clés

Formez une équipe transversale dédiée à la gouvernance des données, constituée de gestionnaires de données, propriétaires de données et analystes de données. Les propriétaires de données sont les gardiens de leurs données. Ils savent qui a, et devrait avoir accès à leurs données. De nombreuses organisations ajoutent un directeur des données (CDO) responsable de la gouvernance des données de toute l’organisation. C’est lui qui supervise les gestionnaires de données dans leurs tâches de gouvernance quotidiennes.

Regardez le webinaire « The Road to HIPAA Compliance » dans lequel un client de Varonis, Rick Thompson du Hugh Chatham Memorial Hospital, explique comment il utilise Varonis pour respecter la loi HIPAA.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testez Varonis gratuitement.
Un résumé détaillé des risques liés à la sécurité de vos données.
Stratégie claire vers une remédiation automatisée.
Déploiement rapide.
Keep reading
guide-de-l’acheteur-de-dspm
Guide de l’acheteur de DSPM
Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
derrière-la-refonte-de-la-marque-varonis
Derrière la refonte de la marque Varonis
Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
Trois façons dont Varonis vous aide à lutter contre les menaces internes
Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).