TECHNOLOGIE DE SANTÉ : Comment les attentes en matière de cybersécurité des soins de santé ont-elles évolué au fil des années ?
NIGRO : La gestion des tiers et des fournisseurs a véritablement explosé au cours des trois à cinq dernières années. Les organisations commencent à prendre conscience de l’interconnectivité de leurs environnements et de l’impact de la sécurité d’un petit fournisseur sur une organisation plus grande. Je constate un effort très concerté pour gérer les tiers. Les contrats ont changé. Je ne peux pas vous dire combien de contrats j’ai examinés qui ont commencé à réduire les stipulations pour les incidents de sécurité à l’heure, ce qui peut être plus agressif que les exigences de déclaration de la HIPAA. D’après mon expérience, ces dernières années ont considérablement modifié la gestion des risques liés aux tiers.
TECHNOLOGIE DE SANTÉ : En ce qui concerne la protection contre les ransomwares, quels domaines pensez-vous que les organismes de santé ont encore du mal à aborder ?
NIGRO : Lorsque nous pensons aux organisations hospitalières, l’accent a été mis sur les dernières technologies médicales pour améliorer les soins aux patients et pas nécessairement sur les dernières pratiques de sécurité pour protéger les environnements. De nombreux hôpitaux ne peuvent faire qu’un nombre limité d’investissements et doivent choisir où ils veulent investir ces dollars.
Mais là où les organisations commencent à faire des efforts, c’est dans l’éducation de leur personnel. Cela demande beaucoup plus de temps à la formation au phishing. Vous devez de toute façon suivre un certain nombre de formations pour vous assurer que vous êtes conforme à l’environnement HIPAA chaque année, mais l’ajout d’une formation sur le phishing améliore réellement les perspectives de sécurité d’une organisation.
Un défi majeur réside dans le fait que la technologie existante est omniprésente dans les hôpitaux et les cabinets médicaux. Mais à mesure que l’interopérabilité devient une exigence, les organisations sont obligées de mettre à niveau leurs systèmes. Avec des ressources limitées, ils devront peut-être prendre des décisions entre l’informatique et les technologies centrées sur le patient. Achetez-vous du matériel de chirurgie robotique qui peut sauver des vies ? Ou convertissez-vous votre ordinateur central, votre AS/400 ou tout autre système existant qui gère votre organisation ? C’est le genre de compromis auquel les organismes de santé continueront d’être confrontés, en particulier les petits hôpitaux.
TECHNOLOGIE DE SANTÉ : Comment les établissements de santé devraient-ils aborder les évaluations de sécurité ? Comment ces évaluations peuvent-elles s’intégrer davantage dans une culture de sécurité plus forte ?
NIGRO : Il est vraiment important d’établir des relations en toute sécurité. Je m’assois avec tous mes clients sur une base de partenariat et j’examine ce qui se passe dans notre organisation du point de vue de la sécurité, je le partage avec l’équipe de direction et je commence à vraiment communiquer sur le fait que chacun a un rôle à jouer en matière de sécurité.
C’est là que les évaluations peuvent porter non seulement sur ce que vous avez mal fait, mais aussi sur ce que vous faites bien, et sur la manière dont vous et votre partenaire pouvez travailler ensemble pour disposer d’une base de sécurité solide. Cela change vraiment la culture. Cela change le ton lorsque vous venez à la table en tant que consultant, et non en tant que vérificateur, pour ainsi dire.
C’est une pilule difficile et amère à avaler lorsque l’on se fait constamment dire : « Voici toutes les choses qui sont brisées dans votre environnement ». Mais lorsque vous commencez à établir cette confiance avec vos fournisseurs tiers, vos partenaires, vous comprenez mieux que votre organisation fait ce qu’elle peut pour améliorer la sécurité, que vous ne tardez pas à le faire et que vous pourrez peut-être vous unir. pour commencer à établir des priorités.
Les évaluations de sécurité telles que les tests d’intrusion découvriront les domaines qui nécessitent des améliorations. Mais ensuite, discutez de la priorisation avec vos partenaires et soyez transparent sur : « C’est ce que nous faisons grâce à cela et comment nous nous améliorons continuellement. »
TECHNOLOGIE DE SANTÉ : Quelle est la leçon majeure en matière de sécurité apprise dans le secteur de la santé au cours de ces trois dernières années ?
NIGRO : Aucune entreprise n’est une île. Il ne s’agit plus de clôturer votre organisation, de verrouiller la porte et de rester en sécurité. Ce n’est plus ainsi que nous faisons des affaires ou fonctionnons bien. Il faut pouvoir partager des informations.
Je me souviens que lorsque j’étais jeune, ma mère avait mes vaccins sur une fiche et elle se promenait avec eux lorsque j’allais chez différents médecins. Cela a changé. Il y a beaucoup plus de mobilité du point de vue du patient. Comment vous assurer que vous sécurisez ces données et que vous les échangez de manière appropriée ?
Les gens ne séjournent généralement pas chez le même médecin qu’ils ont consulté lorsqu’ils étaient enfants ou lorsque leurs parents étaient enfants. L’information doit fonctionner dans un grand nombre d’organisations différentes, et cette interopérabilité, ces dossiers médicaux, sont si importants. Même au sein d’un hôpital, les radiographies d’un patient doivent passer d’un service à un autre, et tout cela doit être effectué de manière sécurisée et accessible. Les patients s’attendent également à des réponses rapides, cette « attente par courrier électronique », de sorte que dès que quelque chose se produit, cela apparaît sur un écran.
TECHNOLOGIE DE SANTÉ : Selon vous, quelles seront les priorités en matière de cybersécurité pour 2024 ? Comment les organisations de santé doivent-elles se préparer pour l’année prochaine ?
NIGRO : Plus de mandats gouvernementaux. Pensez au décret de 2021 visant à améliorer la cybersécurité aux États-Unis, à la pression en faveur d’une nomenclature logicielle pour répondre aux problèmes de sécurité de la chaîne d’approvisionnement. Tout cela commence à vraiment bouillonner et à devenir un défi de taille pour les hôpitaux ou pour quiconque fait affaire avec le gouvernement. Le SBOM est de plus en plus sous le feu des projecteurs, et je pense que ce sera l’un des plus grands défis pour 2024, car qui a une idée de la façon dont « la sauce » est fabriquée ?
J’aimerais également que les organismes de santé, en particulier les plus petits, comprennent qu’il existe différentes façons de résoudre un problème pour lequel il n’est pas nécessairement nécessaire d’utiliser un nouvel outil. Oui, les outils sont importants, et le bon outil peut vous apporter beaucoup de valeur, mais il existe d’autres moyens de renforcer la sécurité. Je souhaite encourager les petites organisations à améliorer leur propre posture de sécurité en examinant simplement ce qu’elles ont déjà et en l’élevant d’un cran.
Ils n’ont pas besoin d’aller du bas vers le sommet de la colline. Il s’agit de pouvoir passer à l’étape suivante. Je souhaite vraiment que les organisations pensent différemment à la sécurité, non pas en termes de nouvel outil le plus brillant qu’elles puissent acheter, mais en améliorant la pile dont elles disposent déjà. Beaucoup de gens possèdent Microsoft, par exemple. Microsoft dispose de certains outils disponibles, alors comment pouvez-vous en tirer parti ? Ce genre de choses. Je veux vraiment que les gens pensent différemment, surtout les hôpitaux.
