« Il s'agit d'un effet en cascade, et cela porte un coup dur aux résultats financiers des hôpitaux dont les marges sont extrêmement minces », dit-il.
Même si les établissements de santé n’ont pas entièrement migré leurs opérations vers le cloud, la continuité des activités et la reprise après sinistre (BCDR) sont un domaine dans lequel le cloud peut les aider.
Par exemple, la plate-forme cloud Microsoft Azure a permis au Mount Sinai Health System d'être mieux préparé à la reprise après panne grâce à la diversité géographique et aux fonctionnalités de basculement basées sur le cloud. Pendant ce temps, le Cook Children's Health Care System de Fort Worth, au Texas, a migré ses dossiers de santé électroniques (DSE) vers le cloud public pour gagner en résilience et se préparer aux catastrophes ou aux cyberattaques.
Qu’est-ce que le BCDR ?
« La continuité des activités et la reprise après sinistre font largement référence au processus et aux mesures prises par les organisations pour reprendre leurs activités normales en cas de sinistre ou de perturbation. C'est un élément clé de la gestion de crise », explique Nagaratnam.
Les plans de continuité des activités sont beaucoup plus vastes et proactifs que les plans de reprise après sinistre, ajoute-t-il. Les plans de reprise après sinistre sont réactifs et permettent aux systèmes de santé de reprendre une activité normale avec des systèmes intacts après une panne.
En plus des temps d'arrêt, l'incapacité à élaborer un plan BCDR solide peut entraîner une perte de données, des pénalités financières et une atteinte à la réputation, explique Nagaratnam.
Alors que la continuité des activités est le processus de maintien des opérations pendant une catastrophe, la reprise après sinistre est le processus technique de restauration de la connectivité après une panne, explique Al Berman, président de la Fondation DRI, une branche caritative du Disaster Recovery Institute (DRI) International.
« Le monde survit sans technologie pendant un certain temps », ajoute Berman. « Nous avons constaté cela dans les hôpitaux, où les hôpitaux continuent de fonctionner malgré le fait qu'ils soient victimes de ransomwares. »
Comment élaborer un plan BCDR pour les soins de santé
Les systèmes de santé devraient élaborer un plan BCDR indiquant ce qu'il faut faire 12 heures, 48 heures et une semaine après l'attaque, conseille Johnson. Il ajoute que les systèmes de santé ont besoin d’un plan qui documente comment fonctionner sans leurs systèmes habituels en plus de comment revenir à un état normal. Ils peuvent tirer des leçons de l’aviation : les pilotes maîtrisent bien les listes de contrôle et peuvent faire face à la fois à un fusible grillé et à une perte de moteurs. Les équipes soignantes ont besoin d’une liste de contrôle similaire en cas de catastrophe, dit-il.
En outre, les systèmes de santé devraient conserver des listes de contrôle pour chaque service, flux de travail et domaine critique, y compris l'informatique, afin de maintenir les processus, explique Johnson.
Rajesh Sheth, vice-président d'AWS Elastic Block Store et sauvegarde chez Amazon Web Services, conseille aux organismes de santé d'intégrer des objectifs de temps de récupération et des objectifs de point de récupération dans leur plan BCDR. Un RTO définit le délai maximum acceptable entre l'interruption du service et la restauration, tandis qu'un RPO décrit le volume de perte de données acceptable entre une panne de service et le point de récupération le plus récent. Les organismes de santé doivent décider des seuils RTO et RPO acceptables pour l’organisation.
Les systèmes de santé devraient également analyser ce qu'il en coûterait pour sauvegarder sur un cloud BCDR, conseille Berman, par rapport à un processus comme l'air gapping, qui implique d'isoler un appareil des réseaux extérieurs.
