Le processus d’évaluation couvre tout, de la compatibilité au coût et à la qualité du service à la clientèle, mais il comprend également une évaluation complète des risques menée par le RSSI du système de santé.
« Tout fournisseur que nous allons potentiellement utiliser doit passer par cette évaluation », déclare Meadows. « Nous leur posons des questions sur tout – leur infrastructure de sécurité, leur gestion des politiques et des procédures, la manière dont ils segmentent leurs réseaux – puis, en fonction de leur réponse, nous pouvons déterminer s’ils conviennent ou non. »
Cook Children’s s’appuie également sur un système tiers qui lui permet de vérifier si un fournisseur particulier a rencontré des problèmes de sécurité importants dans le passé. « S’il a une cote A, nous savons qu’il est en bon état, mais si nous commençons à voir des C, des D et des F, ce n’est probablement pas un risque que nous allons prendre », déclare Meadows.
Pour les services qui répondent à leurs exigences, dit Meadows, l’organisation renforce encore sa posture de sécurité en se réservant le droit de mener des audits de l’environnement du fournisseur et en planifiant les scénarios les plus défavorables possibles. Si Cook Children’s s’appuie sur une société de cloud pour la sauvegarde et la récupération des données, par exemple, il insiste sur un accord juridique détaillant le déroulement de ce processus. L’organisation s’assure également que si quelque chose ne va pas (par exemple, le fournisseur est piraté et se déconnecte), il est prêt à gérer en solo.
« Le plus grand risque que nous courons est probablement que quelque chose se produise avec un système basé sur le cloud et que nous ne puissions pas gérer l’entreprise », déclare Meadows. Elle souligne la panne de Kronos à la fin de 2021, lorsqu’une attaque de ransomware a laissé certaines organisations de soins de santé sans systèmes de paie fonctionnels. « Nous avons toujours un bon plan d’urgence, donc nous savons quoi faire dans une situation comme celle-là. »
EXPLORER: Conseils pour améliorer la gestion dans les environnements cloud de soins de santé complexes.
L’importance de connaître votre fournisseur de services cloud
Alors que les organisations migrent vers le cloud pour tout, de l’hébergement des dossiers de santé électroniques (DSE) à la gestion des ressources d’entreprise, beaucoup sont arrivées à la même conclusion que Meadows et son équipe chez Cook Children’s.
« Ils reconnaissent qu’ils peuvent se tourner vers les fournisseurs de services cloud pour améliorer la sécurité informatique d’une manière qu’ils ne peuvent tout simplement pas faire par eux-mêmes », déclare Lynne Dunbrack, vice-présidente de groupe chez IDC. « En même temps, ils réalisent également que le passage au cloud ne résout pas tout. »
Dunbrack dit qu’au cours des dernières années, IDC a interrogé les organisations pour avoir une idée des avantages qu’elles ont ressentis lors de leurs parcours dans le cloud et a constaté que de nombreux responsables informatiques ont déclaré qu’une meilleure sécurité était en tête de liste.
« Les organisations de soins de santé doivent comprendre exactement comment ce service cloud est fourni », déclare Dunbrack. « Où seront stockées vos données ? Est-il conforme à HIPAA ? Propose-t-il un accord de partenariat commercial ? »
Il est également essentiel de faire preuve de diligence raisonnable vis-à-vis des sous-traitants du fournisseur de services cloud, déclare Dunbrack. « Avec un BAA, le fournisseur est responsable si quelque chose se passe, mais c’est aussi la réputation de votre marque qui est en jeu, ainsi que votre capacité à continuer à prendre soin des patients. »
C’est un bon conseil, dit Meadows, ajoutant qu’elle garde à l’esprit que le cloud ne peut pas tout faire. «C’est bon pour certaines choses, mais vous devez comprendre ce que sont ces domaines. Cela doit être une décision commerciale et axée sur les risques.
