Comment aborder la gestion des risques liés aux tiers
De nombreux systèmes de santé s’efforcent activement d’atténuer les risques liés aux tiers, mais certains dirigeants ne comprennent peut-être pas pleinement l’ampleur de la menace, explique Alex Kaluza, analyste de recherche chez Cloud Security Alliance. Ou encore, dit-il, ils peuvent ne pas agir en raison de contraintes de ressources, d’un manque d’expertise ou de la difficulté de gérer des relations avec plusieurs fournisseurs.
Une approche globale de la gestion des risques liés aux tiers peut inclure des évaluations des risques liés aux fournisseurs, un langage contractuel clair régissant la sécurité des données, une authentification et un cryptage robustes, une surveillance continue et une formation continue des employés, explique Kaluza.
« Les organismes de santé sont fortement motivés à faire face à ces risques, compte tenu de la sensibilité des données qu’ils traitent et des obligations réglementaires auxquelles ils doivent se conformer », ajoute-t-il. « Il y a une différence entre reconnaître le problème et le résoudre efficacement, en particulier compte tenu des processus complexes d’identification, d’évaluation et d’atténuation des risques liés aux tiers.
Decker est également président du Cyber Working Group du Health Sector Coordinating Council, une coalition d’associations industrielles qui travaille en étroite collaboration avec le ministère américain de la Santé et des Services sociaux. Le groupe a formulé des recommandations sur les pratiques qui atténuent le cyber-risque global (telles que la protection des points finaux et la gestion des actifs informatiques), ainsi que sur les pratiques de gestion des risques spécifiques à la chaîne d’approvisionnement (y compris des pratiques contractuelles rigoureuses et une surveillance continue des solutions tierces). Selon Decker, ces deux ensembles de pratiques sont essentiels pour protéger les soins de santé contre les risques liés aux tiers et identifier les violations potentielles.
D’autres pratiques importantes, comme indiqué dans la publication Health Industry Cybersecurity Practices, qui a été élaborée en partenariat avec le DHHS, comprennent la segmentation des réseaux ; la mise en œuvre d’une solide continuité des activités et d’une reprise après sinistre ; une gestion du cycle de vie qui garantit que les tiers ne conservent pas de données ou d’accès après la fin d’une relation ; et simplement surveiller l’actualité des cyberincidents chez les fournisseurs, ajoute Decker.
« La gestion des risques liés aux tiers intègre tout, depuis l’authentification à deux facteurs et les analyses d’impact commercial jusqu’à la prévention des pertes de données », explique-t-il. « Ce sont des écosystèmes hautement connectés. »
Le cloud et la surveillance à distance des patients créent de nouveaux risques
Pendant des années, de nombreuses organisations de soins de santé ont été réticentes à adopter des solutions cloud en raison de problèmes de cybersécurité et de conformité des données, explique Anahi Santiago, RSSI de ChristianaCare.
ChristianaCare comprend trois hôpitaux opérant dans le Delaware et dans certaines parties des États limitrophes. Bien qu’il soit devenu pratiquement impossible pour les hôpitaux et les cliniques d’éviter de travailler avec des fournisseurs de cloud, affirme Santiago, les inquiétudes concernant l’introduction de nouveaux risques dans les environnements de soins de santé n’ont pas disparu.
« L’adoption d’outils et de services cloud a augmenté de façon exponentielle », déclare-t-elle. « Cela signifie que nous comptons plus que jamais sur des tiers pour mener nos opérations de santé et commerciales. »
ChristianaCare gère ce risque grâce à une combinaison de travaux contractuels et d’évaluation, de plans d’intervention et d’outils de surveillance et de sécurité, explique Santiago. L’organisation dispose d’un processus « assez mature » pour évaluer les tiers, ajoute-t-elle. Ce processus implique de collecter des politiques, procédures, certifications et autres documents auprès de partenaires potentiels, puis de travailler avec des équipes internes sur des conditions contractuelles qui appliquent des pratiques de cybersécurité spécifiques.
Si un fournisseur tiers est impliqué dans une violation, l’organisation vous contacte pour savoir si les données de ChristianaCare étaient impliquées et pour comprendre comment le fournisseur sait si l’organisation a été touchée.
ChristianaCare s’appuie également sur des outils comprenant des solutions de surveillance continue, des outils de veille sur les menaces et des solutions de gestion des contrats.
« Alors que nous commençons à étendre davantage les soins à domicile, notamment en matière de surveillance des patients, cela crée encore plus de défis », explique Santiago. « Il est essentiel pour nous de rester maîtres des risques liés aux tiers, car une violation peut avoir un effet sur la santé et le bien-être d’un patient. Dans le domaine de la santé, le risque ne concerne pas seulement la technologie.
