TECHNOLOGIE SANTÉ : Comment le paysage de la cybersécurité pour les soins de santé a-t-il évolué ces dernières années ?
NATARAJAN : Nous voyons la cybersécurité évoluer de deux manières. Nous constatons des changements chez les adversaires, qui étaient traditionnellement de grands acteurs de l’État-nation ou de grandes organisations cybercriminelles, et nous voyons beaucoup plus d’acteurs dans le paysage. Il existe désormais des cybercriminels et des organisations cyberterroristes de toutes tailles.
Nous assistons également à une évolution des menaces telles que Ransomware as a Service, qui permet à n’importe qui d’être un adversaire potentiel. Avant, il fallait recruter une équipe et avoir l’expertise. Maintenant, vous avez juste besoin d’argent et de quelqu’un que vous n’aimez pas, et vous pouvez créer vos propres cyberattaques contre un nouvel ensemble de victimes.
Là où nous voyons l’autre partie de l’évolution, c’est dans l’espace des victimes. Auparavant, on avait l’impression que les cybercriminels ne ciblaient que les grandes entreprises et les grands gouvernements. Si je suis un petit hôpital rural ou un petit district scolaire rural, je n’avais pas à m’inquiéter d’un adversaire de l’État-nation qui viendrait après moi. Mais nous voyons que ce n’est plus vrai. Nous voyons des victimes partout au pays, grandes et petites, publiques et privées, rurales et urbaines. N’importe qui peut être une victime potentielle de cette nouvelle menace d’adversaires.
Cette combinaison de l’augmentation de la fréquence, du volume et de la sophistication des attaques par une base d’adversaires croissante, avec une base croissante de victimes potentielles, change vraiment le paysage des soins de santé et au-delà.
Pendant longtemps, on a également eu l’impression que les soins de santé étaient exemptés. Même si vous revenez à la guerre et aux conflits traditionnels, vous ne bombardez jamais un hôpital. Mais nous constatons que les hôpitaux ne sont plus exemptés. Nous voyons des cyberterroristes, des cybercriminels et des acteurs étatiques s’en prendre aux établissements de santé et avoir un impact.
Il ne s’agit pas seulement de revenus et de gains financiers. En fin de compte, une cyberattaque contre un hôpital devient un problème de sécurité des patients, et donc cet impact se fait sentir et se répercute dans ces communautés. Même dans les zones urbaines où il y a beaucoup de prestataires de soins de santé ou beaucoup plus d’hôpitaux, l’impact de la perte d’une institution pour une période quelconque se fait encore sentir. Ces forces – l’évolution de la base de l’adversaire et de la victime au cours des dernières années – continueront d’évoluer dans les années à venir. C’est ce qui m’inquiète le plus.
TECHNOLOGIE SANTÉ : Existe-t-il certains facteurs qui rendent les soins de santé particulièrement vulnérables à ces types d’attaques ?
NATARAJAN : Je suis vraiment enthousiasmé par les progrès dans le domaine de la santé. Nous regardons où vont aller les soins de santé dans les trois, cinq, sept prochaines années, et c’est tout simplement incroyable. Mais avec cela vient une surface d’attaque élargie. La commodité de se connecter à Internet apporte une vulnérabilité supplémentaire. En ce qui concerne les soins de santé, il y a eu une forte augmentation de l’adoption de la technologie au début de la pandémie. Une augmentation des capacités de télémédecine et de télésanté est apparue presque du jour au lendemain. Cela ne va pas disparaître et, sans doute, cela va continuer à augmenter et à évoluer avec le temps.
Cela va rendre les choses plus complexes pour le secteur de la santé, non seulement en fonction du volume, de la portée et de la croissance des défis que nous avons vus au cours des deux dernières années à cause de COVID-19, mais aussi de ce que nous verrons dans les années à venir. Le fait que ces impacts puissent être ressentis au chevet du patient est vraiment préoccupant.
Mettre en œuvre les cinq piliers de #zéroconfiance l’architecture de sécurité peut aider #soins de santé organisations atténuent les cybermenaces. @CISAgov Le directeur adjoint Nitin Natarajan partage les meilleures pratiques en matière de cybersécurité à #HIMSS23: https://t.co/pEsc4bMfZp pic.twitter.com/0OCrY3ieM1
– Magazine HealthTech (@HealthTechMag) 18 avril 2023
TECHNOLOGIE SANTÉ : Quels types de stratégies ou de technologies les organisations de santé peuvent-elles déployer pour améliorer leur posture de cybersécurité et atténuer les risques liés à ces cyberattaques ?
NATARAJAN : Il y a quelques choses. Nous demandons toujours aux gens de revenir à l’essentiel : avoir des mots de passe forts et une authentification multifacteur. Ces capacités, ainsi que la mise à jour et les correctifs logiciels réguliers, sont d’une importance cruciale.
Une autre piste sur laquelle nous nous concentrons est le modèle Secure by Design, Secure by Default pour les produits technologiques. Comment sécurisons-nous dès la conception ? Comment insistons-nous pour que les fabricants utilisent vraiment des choses comme des langages à mémoire sécurisée et examinent des programmes de divulgation de vulnérabilités et d’autres mesures pour s’assurer que ce que nous achetons est sécurisé ? Comment pouvons-nous nous assurer qu’en tant que consommateurs, nous insistons là-dessus auprès de nos fournisseurs et qu’on leur pose vraiment ces questions difficiles ?
Alors, comment pouvons-nous nous assurer, en tant que consommateurs, que ce que nous achetons et ce que nous achetons est sécurisé par défaut ? Comment pouvons-nous nous assurer que, dès le départ, un certain niveau de sécurité est intégré et que nous n’avons pas nécessairement à payer un supplément pour un modèle sécurisé par rapport à un modèle non sécurisé ?
Enfin, au sein de nos institutions et de nos soins de santé, comment éloigner cette discussion des RSSI et des DSI et les élever vraiment aux PDG et aux conseils d’administration ? Pendant des années, nous nous sommes trop souvent attendus à ce que le CISO ou le CIO protège l’ensemble de l’entreprise. Souvent, lorsqu’ils parlent des défis et des vulnérabilités de la cybersécurité avec les PDG et les conseils d’administration, ce n’est tout simplement pas compris – c’est une langue étrangère. Comment pouvons-nous changer ce dialogue en demandant aux RSSI d’accepter simplement le risque, de changer le paysage et de protéger l’organisation pour, à la place, élever cette conversation vers les PDG et les conseils d’administration ? Comment inculquer réellement le sens de la cyber-responsabilité des entreprises à ceux qui acceptent le risque ?
Pour moi, c’est un tabouret à trois pieds. Nous consacrons beaucoup de temps à l’identification et à l’atténuation des risques. Nous oublions la troisième jambe de ce tabouret, qui est l’acceptation des risques, et cette acceptation des risques concerne vraiment les PDG et les conseils d’administration. Comment s’assurer qu’ils comprennent le risque qu’ils acceptent en fin de compte? Nous acceptons toujours un certain risque. Nous n’atténuerons jamais tout, mais nous devons nous assurer que l’acceptation des risques est aussi bien informée que possible aux plus hauts niveaux de l’organisation.
TECHNOLOGIE SANTÉ : Sinon, comment les organisations de santé peuvent-elles renforcer leur culture de sécurité et s’assurer que tout le monde a la sécurité à l’esprit ?
NATARAJAN : Il s’agit d’impliquer tout le monde. Il s’agit de passer d’une solution informatique à une solution organisationnelle et de s’assurer que non seulement les PDG et les conseils d’administration sont au courant, mais, franchement, que tout le monde est au courant. Cela inclut chaque clinicien, chaque employé de cet établissement qui prend en charge les soins cliniques et la chaîne d’approvisionnement en aval. Vous devez également vous assurer que vous n’introduisez pas de nouvelles vulnérabilités.
Je veux dire, nous savons que certains hôpitaux dépendent de la livraison juste à temps et d’un certain nombre de fournisseurs, de sources et de contrats tiers. Comment vous assurez-vous que toutes les personnes avec lesquelles vous traitez sont en sécurité et qu’elles appliquent, franchement, le niveau de cybersécurité que vous souhaitez qu’elles appliquent ? Vous devez également vous assurer que vous leur posez ces questions, que vous choisissez des produits et des fournisseurs fortement axés sur la cybersécurité et que vous utilisez la cybersécurité pour guider votre prise de décision.
Cela prend vraiment tout le monde. Les gens plaisantent sur qui cliquerait sur les liens de phishing, mais les gens cliqueront sur n’importe quoi. Les ordinateurs sont si répandus et disponibles dans les soins de santé de nos jours, et beaucoup de gens pensent encore qu’ils pourraient recevoir un million de dollars par e-mail. Nous devons donc éliminer cet instinct et nous assurer que les gens pensent avec un état d’esprit de cybersécurité dans tous les rôles de l’organisation. Nous ne devons pas simplement nous attendre à ce que nos RSSI et nos équipes informatiques et de cybersécurité résolvent ce problème pour l’organisation. Tout le monde a un rôle à jouer et chacun doit jouer son rôle.
