Les organisations de soins de santé n’ont pas été piratées, mais les attaques contre leurs fournisseurs et leurs fournisseurs tiers ont eu des conséquences majeures sur l’ensemble de l’écosystème. Dans certains cas, cela comprenait l’exposition des données des systèmes de santé et des données des patients et des familles aux cybercriminels. Le rapport sur les menaces mondiales 2022 de CrowdStrike offre plus d’informations sur l’état actuel de la cybersécurité et les défis entourant la mission de stopper les violations.
Cela peut sembler une tâche trop ardue de surveiller tous les fournisseurs et vendeurs de logiciels et de services commerciaux utilisés par les systèmes de santé, mais ces institutions peuvent renforcer leur posture de sécurité avec ces trois actions.
DÉCOUVRIR: Stratégies de gestion de la chaîne d’approvisionnement pour les organisations de soins de santé.
1. Gardez l’inventaire à jour
Les établissements de santé doivent toujours disposer d’un inventaire à jour de tous les vendeurs et fournisseurs. Cela signifie travailler en étroite collaboration avec les équipes de la chaîne d’approvisionnement, des finances et de la conformité.
Si une institution ne dispose pas d’un programme bien géré de gestion des risques liés aux tiers, l’élaboration de cet inventaire nécessitera un travail de détection :
- Les responsables de la chaîne d’approvisionnement doivent connaître tous les contrats signés par l’organisation. S’ils ne le font pas, c’est un problème différent et une autre couche de l’oignon. En supposant que ce soit le cas, ces contrats doivent identifier les partenaires technologiques ou applicatifs susceptibles d’exposer une organisation à des risques tiers. Il devrait y avoir une politique d’acquisition complète et de bout en bout suivie par l’ensemble de l’établissement de santé qui rend obligatoire la cybersécurité, la conformité et d’autres examens avant de signer de nouveaux fournisseurs.
- Les finances règlent toutes les factures et constituent une autre source d’identification de tous les partenaires tiers susceptibles d’introduire des risques. Étant donné que de nombreux services peuvent désormais être achetés en ligne avec une carte de crédit, les gestionnaires de risques pourraient avoir à creuser encore plus si l’un des départements décidait de contracter avec un fournisseur sans passer par les canaux appropriés.
- Les responsables juridiques et de conformité aident à créer des documents contractuels et des politiques qui alignent la conformité des fournisseurs avec les exigences en matière de santé, telles que l’adhésion à la loi HIPAA. Ils mènent des enquêtes et des examens réguliers de l’efficacité des programmes de conformité, relevant de la haute direction et du conseil d’administration de l’institution.
2. Établir un programme de gestion des risques liés aux tiers
L’évaluation des risques commence lors de l’évaluation initiale d’un partenaire potentiel. Les équipes de sécurité et de conformité doivent évaluer si le fournisseur ou le partenaire répond aux exigences de cybersécurité et de conformité de l’institution.
Si le fournisseur ne peut pas répondre à ces exigences, ne poursuivez pas la relation à moins qu’il n’y ait une exigence impérieuse qui l’emporte sur le risque associé. Si une exception doit être faite, l’équipe doit documenter les contrôles qui seront en place pour surveiller et gérer les lacunes en matière de cybersécurité du fournisseur. Quelqu’un au niveau de la haute direction devrait être responsable de signer et d’accepter le risque pour l’organisation.
3. Effectuer des examens continus des fournisseurs
Un examen des fournisseurs tiers à l’admission ne suffit pas. Tous les programmes évoluent avec le temps, il doit donc y avoir un examen et une évaluation continus de tous les vendeurs et fournisseurs de l’écosystème.
Oui, c’est un défi incroyablement difficile et un endroit où la plupart des organisations manquent de personnel, de soutien et de documentation sur leur travail. Cependant, il existe des cabinets de conseil et des outils qui peuvent être appliqués pour faciliter le processus d’examen en cours.
L’institution doit se concentrer sur la manière dont ses données sont utilisées et stockées pour comprendre les risques associés au partage de ces données.
LIRE LA SUITE: Leçons des leaders de la chaîne d’approvisionnement des soins de santé.
Conclusion : Protégez tous les actifs
Les organisations de santé sont confrontées à des risques liés à de nombreux types de fournisseurs de chaîne d’approvisionnement – des fournisseurs de produits alimentaires et des fabricants de logiciels aux fabricants de dispositifs médicaux, aux sociétés pharmaceutiques et aux vendeurs de fournitures médicales au quotidien.
Étant donné que ces produits et services sont souvent profondément intégrés à la prestation des soins, un incident de cybersécurité ou tout autre type de perturbation chez l’un de ces fournisseurs peut dégrader la capacité d’un système de santé à fournir des soins aux patients et aux familles.
Pour atténuer les risques liés à la chaîne d’approvisionnement, les organisations de soins de santé doivent savoir qui sont tous leurs vendeurs et fournisseurs, établir un programme de gestion des risques tiers pour évaluer leurs normes de cybersécurité et leur conformité, et effectuer des examens réguliers pour s’assurer que leurs fournisseurs restent conformes à toutes les conditions.
