1. Qu’est-ce que la dette sécuritaire et en quoi est-elle différente de la dette technique ?
La dette de sécurité est l’accumulation de vulnérabilités et de véritables lacunes qui se produisent à mesure que les produits et portefeuilles technologiques mûrissent et que les architectures de réseau et les bases de sécurité évoluent. Si l’informatique reste immobile alors que le monde qui l’entoure change, les dangers s’accroissent d’eux-mêmes. Contrairement à la dette technique, la dette de sécurité comporte des risques inconnus et des atténuations imprévisibles : vous ne savez pas ce que vous ne savez pas. Dans le secteur des soins de santé, cette dette de sécurité cachée présente des risques pour la sécurité et la vie privée des patients, invite aux cyberattaques et peut conduire à des échecs de conformité et d’audit.
2. Quelles sont les causes courantes des dettes de sécurité ?
Les soins de santé accumulent davantage de dettes de sécurité que de nombreuses autres industries en raison des investissements nécessaires du secteur dans des équipements médicaux spécialisés et des systèmes logiciels de niche. L'informatique du secteur de la santé doit souvent s'appuyer sur des solutions disparates pour intégrer les applications et les réseaux existants et plus récents, et chaque appareil obsolète ou obscur du réseau ajoute au profil de risque.
3. Que se passe-t-il lorsque les dettes de sécurité s’accumulent ?
Dans le secteur de la santé, les risques liés à la dette de sécurité peuvent être graves : une violation pourrait interrompre les procédures, retarder les résultats critiques de laboratoire et de pathologie et bloquer l'accès aux informations du dossier du patient. Lorsque des vulnérabilités non résolues s’accumulent, les hôpitaux peuvent subir non seulement des pertes financières et une atteinte à leur réputation, mais aussi des problèmes en temps réel qui mettent la vie des patients en danger.
4. Quelles stratégies peuvent réduire le risque de dette liée aux sûretés ?
Sur le plan opérationnel, des stratégies telles que la surveillance continue évaluent en permanence l'état de sécurité des réseaux, des systèmes, des appareils et des applications. Grâce à une visibilité en temps réel sur l'état de sécurité, les équipes informatiques peuvent prioriser la résolution des risques avant qu'ils ne se transforment en violations. Mais ce qui est plus important encore, c'est la gestion à long terme de la dette financière. Des outils d’évaluation de la vulnérabilité de haute qualité, des évaluations des risques externes et un soutien budgétaire pour remplacer les systèmes existants les plus vulnérables contribuent tous à atténuer la dette sécuritaire. Les équipes informatiques doivent également mener des évaluations d’impact pour donner la priorité aux correctifs et protéger les appareils et les applications étroitement associés à la prestation des soins aux patients.
5. Comment l’informatique du secteur de la santé peut-elle équilibrer les besoins cliniques et les mesures correctives ?
Les équipes informatiques doivent se battre pour que la réduction de la dette de sécurité soit un élément (et un résultat) dans les plans d'investissement et les listes de priorités cliniques. Les administrateurs de soins de santé voudront toujours donner la priorité aux ressources destinées aux soins des patients. Les équipes informatiques doivent donc présenter clairement à la direction des données sur les risques cachés que représente la dette de sécurité pour les objectifs cliniques. La dette s’accumule lorsque les choses sont déséquilibrées. Cela signifie qu'il incombe au service informatique de s'asseoir à la table pour être au courant des initiatives de soins aux patients avec des composants informatiques et de garantir qu'un sous-investissement dans la sécurité n'entraîne pas une défaillance catastrophique du système à l'avenir.