Un certain nombre de conditions surchargeraient le personnel informatique déjà surchargé, y compris un délai de conformité obligatoire qui serait un « choc pour notre système », a déclaré Chelsea Arnone, directrice des affaires fédérales de CHIME.
« Nous soutenons fermement l'amélioration de la cybersécurité dans les soins de santé, mais cette proposition est trop prescriptive, nécessite beaucoup de documentation et n'est pas techniquement adaptée au fonctionnement des systèmes de santé », ajoute Arnone.
Avant la fin de 2025, CHIME a organisé une lettre conjointe avec plus de 100 systèmes hospitaliers, organismes de santé et associations demandant au HHS de retirer sa proposition de mise à jour et de collaborer avec les prestataires pour développer un cadre de cybersécurité plus pratique et basé sur les risques.
On ne sait pas exactement ce que fera le HHS. Selon le dernier programme unifié de l'agence, elle prévoit de publier une règle finale en mai 2026, mais cette date n'est pas contraignante, a déclaré Arnone.
Comment Kern Medical a renforcé sa cybersécurité à partir de zéro
Lorsque Witmer a rejoint Kern Medical, ses priorités immédiates étaient de mettre à niveau les équipements de centre de données et de réseau obsolètes, ainsi que de remplacer un système de sauvegarde sur bande inadéquat et un système de réplication de stockage en réseau insuffisant. Dans le cadre d'un vaste effort de modernisation, les changements comprenaient un nouveau système de dossiers de santé électroniques et des applications financières.
Cette année-là, Witmer a déployé de nouveaux serveurs et équipements réseau Cisco, du stockage de Pure Storage et une nouvelle solution de sauvegarde et de récupération de données de Rubrik, qui permet des sauvegardes immuables qui ne peuvent pas être modifiées ou réécrites, une capacité essentielle qui protège contre les attaques de ransomwares.
Pour renforcer davantage la sécurité, Witmer a corrigé les autorisations utilisateur excessives qui pourraient permettre aux attaquants de propager des ransomwares sur le réseau si les informations d'identification sont compromises. Il a mis en œuvre un contrôle d'accès basé sur les rôles en adoptant Active Directory sur site, Entra ID sur Microsoft Azure et une solution de contrôle d'accès réseau.
Il a également segmenté le réseau pour réduire la surface d'attaque et a adopté Entra MFA de Microsoft, la sécurité des points finaux Microsoft Defender et le cryptage BitLocker. Un personnel de sécurité accru signifie le soutien d’un RSSI virtuel et d’une équipe interne d’analystes de sécurité pour les opérations quotidiennes.
À l’avenir, Witmer a mis en place un comité de gouvernance de l’intelligence artificielle pour développer des politiques de sécurité, de confidentialité et d’utilisation des outils d’IA générative. Il envisage également d'externaliser la surveillance de la sécurité 24 heures sur 24, 7 jours sur 7, car la compagnie d'assurance cyber de l'hôpital a signalé que ce serait une exigence à l'avenir.
Dans l'ensemble, une grande partie des directives de sécurité HIPAA proposées, qui incluent l'AMF, les sauvegardes de données et la segmentation du réseau, reflètent les exigences de la compagnie d'assurance de Kern Medical, explique Witmer.
« Ce que je vois sur la liste des exigences proposées pour la règle de sécurité HIPAA, nous l'avons déjà mis en place », dit-il. « Nous dépassons déjà leurs exigences minimales. »
