Aux États-Unis, chaque système de santé présente son propre niveau de vulnérabilité aux cyberattaques. Et chaque système, dans la mesure où ses ressources et sa perception le permettent, s’efforce d’éliminer ces vulnérabilités. Mais de nombreux hôpitaux ne savent pas clairement où et comment ils sont susceptibles d’être attaqués.
Les systèmes ont du mal à répondre aux exigences minimales de conformité tout en manquant de ressources ou de soutien pour mettre en œuvre des mesures de cybersécurité plus larges. En conséquence, les cybercriminels franchissent les murs à une fréquence alarmante. Considérer:
La cyberattaque Change Healthcare du début de l’année a coûté 900 millions de dollars à la société mère UnitedHealth et a touché directement ou indirectement près d’un tiers des Américains. Une attaque en mai a compromis les soins de santé à Ascension, notamment des opérations chirurgicales reportées, des rendez-vous annulés et des ambulances détournées. Un piratage de données HCA Healthcare qui a touché 11 millions de personnes. patients était le plus important en 2023, une année qui a vu un record de 725 violations
Les prestataires et les fournisseurs de soins de santé apprennent à leurs dépens que les pirates informatiques sont implacables et ingénieux, ajustant constamment leurs tactiques et leurs outils et utilisant les nouvelles technologies, notamment l’IA, pour lancer des attaques plus sophistiquées. Les défenses des hôpitaux sont généralement à la traîne. Les cyberdéfenses qui fonctionnaient il y a quelques années ne sont plus adéquates. Souvent, les cibles ne savent pas exactement où et comment améliorer leur protection.
Mesures publiques et privées
Alarmés par ces attaques, les secteurs public et privé font pression sur les systèmes de santé pour qu’ils fassent davantage. Les assureurs qui vendent une assurance contre les cyberattaques insistent pour que les hôpitaux renforcent leurs défenses ou perdent leur couverture.
L’administration alloue 800 millions de dollars à la cybersécurité dans le budget proposé pour la santé et les services sociaux (HHS) pour l’exercice 2025. En outre, il existe des projets de loi distincts sur la cybersécurité des soins de santé à la Chambre et au Sénat. La mesure du Sénat pénaliserait les systèmes qui ne parviennent pas à améliorer leurs défenses.
New York est le premier État à réglementer la cybersécurité. Ses nouvelles exigences obligent les hôpitaux à adopter une protection des données au-delà de ce qui est mandaté par la loi fédérale sur la portabilité et la responsabilité de l’assurance maladie (HIPAA). Ils exigent que les systèmes de santé procèdent à une évaluation annuelle des risques et vulnérabilités potentiels et établissent un programme de cybersécurité basé sur cet audit, comprenant des dispositions pour signaler, contrer et récupérer une violation de données.
De plus, les hôpitaux doivent disposer d’un responsable de la sécurité de l’information (RSSI) à temps partiel ou à temps plein pour guider et soutenir les mesures de cybersécurité.
Sous-financé et attaqué
Les établissements de santé ne peuvent pas se permettre d’attendre. Ils doivent agir rapidement et continuellement pour repousser les attaques. Cependant, de nombreux systèmes ne disposent pas des budgets, du savoir-faire ou du personnel nécessaires pour réaliser tout ce dont ils ont besoin.
La dotation en personnel des équipes de cybersécurité pose un problème particulier. Selon une enquête HIMSS sur la cybersécurité des soins de santé :
74 % des personnes interrogées ont déclaré que le recrutement de professionnels qualifiés en cybersécurité était un défi. 47 % ont déclaré que le manque d’expérience ou de compétences en cybersécurité était un défi lors du recrutement. 38 % ont déclaré que le manque de candidats ayant une expérience dans le domaine de la santé était un défi.
Parallèlement à une pénurie de candidats qualifiés, les organismes de santé n’ont souvent pas le budget nécessaire pour les embaucher :
43 % des personnes interrogées ont déclaré ne pas disposer d’un budget suffisant pour embaucher le personnel dont elles ont besoin. 28 % ont déclaré que la rémunération non compétitive était un obstacle.
Une rémunération inadéquate, le stress et les longues heures de travail contribuent à un problème de rétention. Dans l’enquête HIMSS, 57 % des personnes interrogées ont déclaré que la rétention des travailleurs qualifiés était un problème.
Les budgets consacrés à la cybersécurité augmentent cependant, ce qui pourrait atténuer certains problèmes.
Gestion des risques tiers
Les attaques ne vont pas s’arrêter.
Les établissements de santé constituent des cibles tentantes pour les pirates informatiques pour plusieurs raisons. Ils détiennent d’énormes quantités de données sur les patients, particulièrement précieuses car elles comprennent à la fois des informations personnelles et financières. En outre, ils présentent de nombreuses vulnérabilités, internes et externes, notamment parce que les données sont fragmentées et conservées dans de multiples emplacements ; et, dans le cas des ransomwares, toute interruption des opérations critiques exerce une pression énorme pour résoudre la situation, même si cela implique de payer une rançon.
Les hôpitaux sont le plus souvent attaqués indirectement par l’intermédiaire de fournisseurs tiers dont ils licencient les logiciels. Il est extrêmement difficile, voire impossible avec des méthodes manuelles, pour les systèmes de santé qui fonctionnent avec des centaines d’applications tierces de s’assurer que chaque fournisseur dispose de défenses adéquates et respecte les meilleures pratiques en matière de cybersécurité.
Même si le fournisseur est en faute, ce sont les établissements de santé qui subissent le plus gros de l’attaque. Heureusement, il existe des moyens pour se protéger :
Évaluation des risques – Cartographier le réseau des fournisseurs, auditer les processus de sécurité des fournisseurs et surveiller régulièrement leur posture de sécurité. Corriger les vulnérabilités – Corriger les vulnérabilités des fournisseurs identifiées à l’étape 1, ajuster la responsabilité pour les dommages directs si nécessaire ou remplacer les fournisseurs qui ne se conformeront pas. Adaptation des pratiques – Mettre en place des politiques et des procédures qui continuent de donner la priorité à la gestion des risques liés aux tiers, comme l’intégration d’examens de sécurité dans le processus d’achat AVANT qu’un achat ne soit effectué.
Le besoin d’une aide extérieure
Les systèmes de santé fonctionnent avec des marges étroites, car ils sont aux prises avec les coûts de main-d’œuvre et les pénuries de main-d’œuvre. Dans cet environnement, les demandes de financement visant à renforcer la cybersécurité doivent rivaliser avec d’autres priorités. Les conseils d’administration d’hôpitaux peuvent être réticents à allouer des fonds parce qu’ils ne sont pas conscients de la vulnérabilité de leur organisation. Le résultat est souvent une approche disparate de la cybersécurité qui laisse des lacunes aux attaquants. Et la vague imminente de réglementations gouvernementales concernant la cybersécurité va alourdir le fardeau financier des hôpitaux.
La plupart des systèmes de santé ne disposent pas des ressources ou de l’expertise nécessaires pour déployer des défenses fiables et rester au courant de toutes les menaces. Beaucoup trouvent plus efficace de s’associer à une entreprise dédiée aux services de cybersécurité et de gestion des risques. Les experts en cybersécurité des soins de santé connaissent la technologie hospitalière, les pratiques commerciales, l’interopérabilité et les meilleures défenses contre les cyberattaques. Ils peuvent fournir aux organisations une vision complète des risques et guider la création et l’amélioration du programme global de cybersécurité d’un système de santé.
Ils aident également à identifier et à gérer les risques tiers posés par les fournisseurs. Ces experts peuvent apporter une tranquillité d’esprit aux organismes de santé et leur permettre de se concentrer sur la prestation des soins de santé.
Il n’existe pas de protection infaillible contre les pirates informatiques, mais les établissements de santé se doivent, envers eux-mêmes, envers leurs patients et leurs partenaires, de mettre en place la meilleure défense possible.
Photo : anyaberkut, Getty Images
George C. Pappas est le PDG d’Intraprise Health, une société Health Catalyst, et un cadre chevronné en haute technologie avec plus de 35 ans d’expertise interfonctionnelle dans les domaines des ventes et du marketing, des services professionnels, des opérations, de la gestion de produits et de la R&D. Il a auparavant occupé le poste de directeur de la clientèle et de directeur de l’exploitation chez DrFirst, où il a considérablement élargi la clientèle à plus de 1 400 hôpitaux et 100 000 prescripteurs aux États-Unis et au Canada.
George a fait ses preuves en guidant des sociétés de logiciels et de services depuis leur création jusqu’aux étapes de forte croissance, y compris les introductions en bourse, avec des revenus allant de 5 millions de dollars à plus de 100 millions de dollars. Avant DrFirst, il était directeur de l’exploitation chez Motionsoft et a siégé à leur conseil d’administration, ainsi que vice-président exécutif et membre du conseil d’administration de Presidium. Sa vaste expérience couvre la santé, les services financiers, les télécommunications, la sécurité nationale et l’enseignement supérieur. George a dirigé des équipes de R&D aux États-Unis, en Inde, en Russie, en Pologne et en Chine. Il est actif au sein de CHIME et membre de leur programme CFCHE. George est également titulaire d’un brevet en gestion des risques commerciaux et est diplômé de l’Université de Boston.
Cet article apparaît via le programme MedCity Influencers. N’importe qui peut publier son point de vue sur les affaires et l’innovation dans le domaine des soins de santé sur MedCity News via MedCity Influencers. Cliquez ici pour découvrir comment.
%20SPW%20A.%20Coppens.jpg?h=f8fec600&itok=1130yyZK "Élections communales et provinciales 2024 : le compte à rebours est lancé")
