Planification de la réponse aux incidents : comment créer un plan de RI pour les soins de santé

Quand, pas si : l’anatomie d’une attaque de cybersécurité dans le secteur de la santé

Soyons clairs : il s’agit de lorsque, ne pas si une attaque de cybersécurité se produit. Ce n’est pas une notion confortable – l’idée que malgré tous les efforts, les attaquants finiront par violer les défenses ou que les initiés exposeront des données clés. Confortable ou pas, cependant, c’est la réalité : comme l’a noté un récent rapport du HIPAA Journal, plus de 3 millions de dossiers de santé ont été violés chaque mois entre juillet 2020 et juin 2021.

Selon Pam Nigro, vice-présidente informatique et responsable de la sécurité chez Everly Health et vice-présidente du conseil d’administration de l’ISACA, l’augmentation du nombre de violations a mis la RI en santé sous les projecteurs.

« La réponse aux incidents a toujours été importante, mais maintenant, elle gagne en visibilité et en attention », déclare Nigro. « Nous intervenons depuis des années dans l’intervention en cas d’incident, mais à cause de ce qui s’est passé récemment, il y a une plus grande attention là-dessus. Les organisations ont commencé à réaliser à quel point il est coûteux de résoudre les incidents.

La nature sensible des documents de soins de santé – et l’évolution de la surveillance réglementaire de ces actifs – est également une force motrice pour une meilleure réponse aux incidents. Les violations de la loi HIPAA entraînent des coûts importants à la fois pour les revenus et la réputation, ce qui rend les plans complets de réponse aux incidents plus importants que jamais.

LIRE LA SUITE: Comment sécuriser les établissements de santé contre les attaques de ransomware.

Phase 1 de la planification de la réponse aux incidents : préparation

La première phase de la création d’une réponse aux incidents agile et efficace pour les soins de santé est la préparation. En préparant le terrain pour le succès de la sécurité dès le départ, les organisations peuvent réduire leurs risques au fil du temps. Les étapes clés de cette phase comprennent :

• Sécuriser l’adhésion de la C-suite : Pour que tout plan IR fonctionne, il nécessite l’adhésion des dirigeants. Cela comprend à la fois les mandats et l’argent. Nigro note que la fréquence et la visibilité accrues des incidents de soins de santé ont contribué à renforcer le support des C-suites. « La salle du conseil devient un peu plus avisée à mesure que les choses deviennent plus visibles », dit-elle.
• Identification des actifs clés : Ensuite, les entreprises doivent identifier leurs actifs les plus précieux. Pour les soins de santé, cela inclut souvent les dossiers de santé électroniques, les données personnelles des employés et les données financières de l’organisation.
• Réalisation d’évaluations des risques de sécurité : La préparation n’est pas complète sans évaluation des risques. Ceux-ci aident à identifier où les contrôles de sécurité fonctionnent comme prévu et où existent des lacunes.
• Création d’un modèle de menace : Alors que les attaquants font constamment évoluer leur approche, il vaut la peine de développer un modèle de menace qui décrit les vecteurs d’attaque courants.

Nigro note également que « les compagnies d’assurance cyber deviennent plus intelligentes et ne paieront plus pour les mêmes choses qu’elles faisaient dans le passé ». Par conséquent, les établissements de santé doivent faire preuve d’une diligence raisonnable en matière de sécurité conformément aux polices d’assurance cyber pour être indemnisés en cas d’incident.

DÉCOUVRIR: Chris Frenz de Mount Sinai sur les meilleures pratiques pour la mise en œuvre de la confiance zéro.

Phase 2 de la planification de la réponse aux incidents : instrumentation

Vient ensuite l’instrumentation – les outils et services nécessaires aux organisations de soins de santé pour réagir efficacement en cas d’incident. L’instrumentation IR commune comprend :

• Pare-feu de nouvelle génération : Les NGFW fournissent une inspection de la couche paquet du trafic entrant pour fournir un contrôle plus granulaire sur la sécurité. « Cela vous permet de désactiver les choses tout de suite – vous pouvez voir s’il y a quelque chose dans votre environnement qui est en dehors de votre structure de règles, puis isoler ce qui se passe et enquêter », explique Nigro.
• Systèmes de détection d’intrusion : Bien qu’une protection véritablement proactive contre la réponse aux incidents ne soit pas réaliste, dit Nigro, « nous devons changer le modèle d’une surveillance réactive à une surveillance continue capable de détecter les anomalies dans l’ensemble de l’organisation ».
• Solutions de gestion des identités et des accès : « Tout le monde a-t-il besoin d’accéder aux données ? » demande Nigro. « Vous devez travailler sur votre IAM et faire le gros du travail qui consiste à obtenir les bonnes autorisations et à garantir un accès minimum nécessaire. » Voici pourquoi : si les attaquants peuvent compromettre des comptes d’utilisateurs authentifiés, la plupart des outils de sécurité ne les identifieront pas comme des menaces, ce qui leur laissera amplement le temps d’explorer les réseaux de l’entreprise.
• Outils d’analyse comportementale : En collectant des données sur le comportement commun des employés, puis en appliquant des analyses intelligentes, il est possible d’identifier plus rapidement les menaces potentielles. « Par exemple », dit Nigro, « disons que je sais que mes employés travaillent à domicile entre 6 h 00 et 18 h 00. S’ils se connectent après les heures de bureau, est-ce une exception ou un problème ? » L’analyse du comportement permet aux organisations d’identifier et de traiter ces actions inattendues (et potentiellement problématiques) dès que possible.

Bien qu’il soit possible de créer une instrumentation IR entièrement en interne, les organisations de santé sont souvent mieux servies en se connectant avec des fournisseurs tiers fiables qui ont de l’expérience dans l’évaluation des cadres de sécurité actuels et la recommandation de mises à niveau ou d’ajouts clés.

Phase 3 de la planification de la réponse aux incidents : maintenance

La phase finale de la planification de la réponse aux incidents pour les soins de santé est la maintenance, c’est-à-dire la surveillance et la gestion des outils de sécurité dans l’ensemble de l’organisation pour s’assurer qu’ils fonctionnent comme prévu.

Bien que les stratégies et solutions de sécurité offrent des avantages substantiels aux organisations de soins de santé, elles ne sont pas « définies et oubliées ». Pour garantir que les plans de RI fournissent des résultats cohérents, les établissements de santé doivent régulièrement tester et évaluer leurs plans contre les menaces actuelles. Cela pourrait prendre la forme de tests internes par les équipes informatiques ou l’utilisation de tests d’intrusion tiers par des fournisseurs d’audit de sécurité.

Nigro souligne également la nécessité de rapports solides pour suivre à la fois l’incident et la réponse. « Les produits existants nécessitent souvent le travail manuel consistant à s’asseoir avec les propriétaires de données pour déterminer qui a accès, qui a besoin d’un accès et où un accès non autorisé a eu lieu », dit-elle. « Les nouveaux outils IAM numérisent et automatisent à la fois ce processus, permettant aux établissements de santé d’évaluer régulièrement leur plan de réponse aux incidents.

PLUS DE HEALTHTECH : Comment la formation à la sécurité peut lutter contre la menace des ransomwares.

Mettre tout cela ensemble pour créer un plan de santé IR solide

Des plans complets de réponse aux incidents de soins de santé aident les organisations à se préparer aux risques inévitables. Et bien qu’il n’y ait pas d’approche unique pour un plan de RI efficace, l’adoption du cadre en trois phases de préparation, d’instrumentation et de maintenance peut aider les entreprises à améliorer leur visibilité, leurs opérations et leur conformité continue.