Comment les hôpitaux peuvent gagner en visibilité sur leurs données
Si les organisations ne savent pas où se trouvent leurs données ni à quoi elles ressemblent, elles ne peuvent pas les sécuriser correctement. Trouver des informations sur les patients au sein d’une organisation n’est pas une tâche facile et nécessite souvent des compétences en programmation informatique.
Les technologies obsolètes qui exploitent la correspondance de modèles basée sur des règles pour identifier si quelque chose constitue des informations de santé protégées sont, au mieux, difficiles à mettre en œuvre correctement, et elles ne suffisent plus à protéger les établissements de santé contre leurs plus grands risques.
Mais les progrès de l’intelligence artificielle alimentent les solutions permettant d’identifier et d’inventorier les informations électroniques de santé protégées (ePHI). La puissance de l’apprentissage profond permet aux modèles d’IA d’imiter la capacité d’humains formés à identifier les ePHI, sans avoir besoin d’entreprendre de lourdes tâches de programmation et d’ajuster, tester et analyser en permanence de grandes quantités de modèles de recherche et de règles de détection. Ce processus est vieux jeu et limite les organisations qui souhaitent évoluer.
Comment les hôpitaux peuvent répondre à une meilleure normalisation et conformité
Le National Institute of Standards and Technology fournit des conseils et des ressources pour la mise en œuvre de mesures de sécurité conformes à la règle de sécurité HIPAA, qui sert à mieux protéger les informations des patients et à réduire l’impact des cyberattaques en protégeant les ePHI détenues ou maintenues par les entités réglementées par la HIPAA.
Comme indiqué dans le document NIST 800-66r2 : « Les ePHI qu’une entité réglementée crée, reçoit, maintient ou transmet doivent être protégées contre les menaces, les dangers raisonnablement anticipés et les utilisations et/ou divulgations non autorisées. »
Le document fournit des conseils de mise en œuvre actualisés et cruciaux pour les entités réglementées par la HIPAA afin de protéger de manière proactive les données des patients et d’identifier et de gérer les risques ePHI. En tant que norme de facto des meilleures pratiques, le NIST 800-66r2 ordonne aux organisations de disposer d’un plan de réponse aux incidents pour tous les domaines dans lesquels les ePHI sont utilisées, stockées ou partagées.
La première étape pour y parvenir consiste à identifier tous les emplacements et tiroirs indésirables des ePHI en dehors du système de dossiers de santé électroniques. Les établissements de santé ne peuvent pas gérer ce qu’ils ne peuvent pas voir. Ils doivent d’abord identifier et inventorier les ePHI afin de protéger ces données des cyberattaques. C’est là qu’une plateforme unifiée de protection des applications cloud natives peut s’avérer utile.
Les établissements de santé qui cherchent à moderniser leur approche en matière de cybersécurité devraient envisager une plateforme de sécurité des données basée sur l’IA qui peut les aider à identifier et à inventorier les ePHI. Traditionnellement, cela se fait au moyen de systèmes archaïques basés sur des règles, rendus encore plus complexes car plus de 80 % des données de santé ne sont pas structurées.
Les établissements de santé peuvent tirer parti de solutions basées sur l’IA pour gérer et identifier les ePHI, réduisant ainsi les risques et les coûts. Ceux qui ont réussi avec de telles solutions signalent un risque minimisé contre les cyberattaques, moins de ressources nécessaires pour gérer les données et des primes de cyberassurance inférieures.
