Les dirigeants du secteur de la santé commencent enfin à mettre la cybersécurité au second plan, la plupart des prestataires et des organismes payeurs augmentant leurs dépenses dans ce domaine en pleine prolifération des cyberattaques.
Lors d’une table ronde organisée mercredi lors de la conférence INVEST Digital Health de MedCity News à Dallas, les dirigeants du secteur de la santé ont partagé leur point de vue sur ce qui doit changer afin d’améliorer la posture de défense et la résilience de l’industrie face aux menaces croissantes.
Il est nécessaire d’instaurer une culture de sensibilisation à l’échelle de l’organisation.
En matière de cybersécurité, la force d’une entreprise dépend souvent de son maillon le plus faible, a souligné Andrew Molosky, PDG de Chapters Health System, basé à Tampa, ainsi que de sa filiale CareNu, qui se concentre sur les soins basés sur la valeur dans le domaine de Medicare Advantage.
Il suffit qu’un employé ouvre un e-mail de phishing pour qu’une catastrophe de cybersécurité se produise. Les organisations de soins de santé doivent donc créer une culture de sensibilisation à la cybersécurité parmi tous les employés, a-t-il déclaré.
« Nous avons des protocoles cliniques, financiers et technologiques pour tous nos environnements. Si vous pensez que pour une raison ou une autre, la cybersécurité est une tâche, ou qu’elle ne concerne qu’un service, ou que c’est le problème de quelqu’un d’autre, vous êtes déjà sur une mauvaise voie », a déclaré Molosky. « Lorsque tous ceux qui portent un badge au nom de l’organisation, à quelque titre que ce soit, reconnaissent que cela est tout aussi essentiel que les procédures, les produits pharmaceutiques ou tout autre élément de la prestation médicale, alors tout d’un coup, vous avez une véritable conscience culturelle. »
Pour améliorer leur dispositif de défense, les établissements de santé doivent s’assurer que tous leurs employés bénéficient au moins d’une formation de base en cybersécurité, a-t-il souligné. Selon lui, la cybersécurité ne peut pas être considérée comme une pratique spécialisée : elle doit être au cœur des activités quotidiennes de l’organisation.
Les nouvelles technologies doivent être conçues avec une grande attention à la cybersécurité
Les organisations de soins de santé adoptent de nouvelles technologies à un rythme rapide. Un rapport publié cette semaine par Bain & Company et KLAS Research a montré que les trois quarts des prestataires et des payeurs du pays déclarent avoir augmenté leurs dépenses en technologie et en informatique au cours de l’année écoulée.
Toutes ces nouvelles technologies entraînent également des risques supplémentaires, a noté John Mowery, responsable de la sécurité informatique chez Houston Methodist.
« Nous ne pouvons pas gérer le déluge d’innovations qui arrivent, ni l’immaturité de la sécurité de ces [tools]« C’est un raz-de-marée que nous ne pouvons pas gérer », a-t-il déclaré.
Alors que de nouvelles solutions continuent d’arriver sur le marché, l’industrie doit s’unir pour garantir que ces outils sont conçus avec une mentalité de sécurité avant tout, a déclaré Mowery.
Il a également noté qu’il est important pour les dirigeants d’hôpitaux de rester engagés dans leur écosystème d’innovation et d’essayer d’être au courant de toutes les nouvelles technologies déployées au sein de l’organisation.
Souvent, un nouvel outil est introduit dans un réseau de médecins ou un groupe de spécialités, et les responsables de la cybersécurité de l’hôpital n’en sont informés qu’une fois qu’il est presque installé, a-t-il déclaré.
« Cela crée des défis et des risques pour l’organisation, mais cela augmente également notre charge de travail, car nous devons maintenant trouver comment remédier à tous ces risques », a expliqué Mowery.
Le secteur de la santé a peut-être besoin de davantage de leaders en cybersécurité extérieurs au secteur
Les organisations de soins de santé qui cherchent à développer leurs programmes de cybersécurité devraient rechercher des dirigeants dotés d’une expérience diversifiée, a recommandé Ben Schwering, directeur de la sécurité de l’information chez Premier.
« Souvent, lorsque je discute avec des organisations de santé ou que je vois des offres d’emploi pour des responsables de la sécurité ou des ingénieurs, je vois toujours « doit avoir plus de 10 ans d’expérience dans le domaine de la santé » ou « doit avoir 25 ans d’expérience dans le domaine de la santé ». Je ne suis pas d’accord avec ça. Je préfèrerais voir arriver quelqu’un avec une expérience diversifiée, car il verra les choses d’une nouvelle manière », a-t-il expliqué.
Les dirigeants qui viennent de l’extérieur du monde de la santé signalent souvent des choses qui pourraient passer inaperçues pour les personnes qui ont été hyper concentrées sur les soins de santé pendant toute leur carrière, a noté Schwering.
Photo : Nick Fanion, Breaking Media
