Fin mars, le ministère américain de la Santé et des Services sociaux a discuté de son projet de créer une ressource centralisée pour aider à améliorer la coordination de la cybersécurité dans les soins de santé.
Ces projets font suite aux retombées de la cyberattaque Change Healthcare qui a secoué le secteur lors de son annonce en février. Une enquête de l'American Hospital Association menée début mars a révélé que 94 pour cent des hôpitaux ayant répondu ont vu un impact financier de l'incident. Les responsables du gouvernement américain ont intensifié leur surveillance des pratiques de cybersécurité du secteur ces dernières semaines.
« Les organisations doivent fonctionner en partant du principe qu'elles seront victimes d'une violation à un moment ou à un autre », a déclaré Buck Bell, qui dirige le bureau de stratégie de sécurité mondiale de CDW, dans le cadre d'une récente recherche de CDW avec des responsables informatiques. « D'une certaine manière, c'est là toute la base de la campagne de confiance zéro à laquelle nous avons assisté ces dernières années, l'idée que vous avez peut-être déjà été compromis. »
À l’heure actuelle, il reste encore beaucoup à apprendre de cette cyberattaque grave et de grande envergure. C'était certainement une priorité lorsque les dirigeants du secteur de la santé se sont réunis en mars pour la conférence et exposition mondiale 2024 de la Healthcare Information and Management Systems Society à Orlando, en Floride.
Cela rappelle que la cybersécurité et la cyber-résilience restent des priorités pour les organismes de santé. Comme l'a déclaré Mark Johnson, RSSI de Hackensack Meridian, lors de sa présentation HIMSS24 : « Si vous restez immobile dans le cyber, vous êtes laissé pour compte. »
Connecter la cybersécurité à votre mission stratégique
Les environnements de soins de santé d’aujourd’hui ne se limitent pas à l’intérieur des murs des hôpitaux. Avec les soins virtuels, la surveillance à distance des patients et l’augmentation des points d’accès numériques, les organismes de santé gèrent un écosystème complexe et interconnecté. Les soins de santé continuent d’évoluer pour répondre aux attentes des patients en matière de soins accessibles, ce qui nécessite une connectivité et une interopérabilité qui peuvent poser des défis persistants en matière de cybersécurité.
« Plus vous avez une vision globale de l'entreprise dans son ensemble – non seulement du cyber-risque spécifique lui-même mais aussi des impacts commerciaux qui y sont associés – généralement plus vous réussirez à atteindre vos objectifs en matière de cyber-résilience », a déclaré Bell. . « De mon point de vue, le cyber-risque est un risque commercial. »
Lorsqu'il s'agit de justifier les investissements en matière de cybersécurité auprès des cadres supérieurs, 35 % des responsables informatiques du secteur de la santé ont déclaré que montrer le coût d'une violation de données, comme la perte de ventes et de productivité, s'est avéré très efficace pour obtenir un financement, selon une étude du CDW. .
Les dirigeants de Hackensack Meridian ont fait écho à cette conclusion lorsqu'ils ont partagé les leçons d'une attaque de ransomware de 2019, qui a entraîné une augmentation du financement de la cybersécurité, une sécurité des dirigeants plus proactive et une gestion des risques liés aux tiers pour le système de santé basé dans le New Jersey.
« Chaque dirigeant de chaque organisation est un gestionnaire de risques. Ils prennent des décisions en matière de risques chaque jour », a déclaré Christopher Jurs, directeur de la gouvernance des identités et de la planification de la cybersécurité chez Hackensack Meridian, lors de sa session HIMSS24.
Mais à mesure que le secteur de la santé mûrit sa stratégie de sécurité zéro confiance, qui a pris de l'ampleur ces dernières années avec la pression en faveur de son adoption par les agences fédérales, des obstacles subsistent. Près de 50 pour cent des responsables informatiques du secteur de la santé ont déclaré que l'intégration des outils existants constitue un défi majeur pour la mise en œuvre des principes de confiance zéro, suivi par l'établissement d'une stratégie de confiance zéro efficace en premier lieu (45 pour cent) et la résistance culturelle des utilisateurs (32). pour cent).
Difficultés d'intégration pour la cybersécurité des soins de santé
En ce qui concerne les facteurs qui manquent encore dans l'approche d'une organisation en matière de cybersécurité, les responsables informatiques du secteur de la santé citent comme principales raisons une formation insuffisante ou inefficace des employés en matière de sécurité, le manque de ressources budgétaires et une détection inadéquate des menaces, selon une étude du CDW. Cependant, environ 47 % des responsables informatiques déclarent qu'ils sont très sûrs de disposer d'une visibilité suffisante sur leur paysage actuel de cybersécurité.
Cela semble correspondre aux expériences de certains organismes de santé qui perfectionnent leurs approches de surveillance du réseau et de gestion des appareils. Les systèmes de santé doivent souvent gérer des centaines, voire des milliers d’appareils, depuis les appareils d’IRM, les glucomètres et les pompes à perfusion jusqu’aux smartphones et tablettes. La société californienne El Camino Health, par exemple, compte plus de 30 000 points finaux, a déclaré le RSSI adjoint Lawrence Smith lors du HIMSS24.
Néanmoins, l’intégration des outils de sécurité reste un domaine à améliorer. Selon une étude du CDW, environ 33 % des responsables informatiques du secteur de la santé ont déclaré qu'il leur était quelque peu difficile d'intégrer tous les outils de sécurité qu'ils utilisent.
« Nous parlons beaucoup de rationaliser les ensembles d'outils, et la façon de rationaliser consiste à examiner les fonctionnalités qui se chevauchent que vous avez en jeu », a déclaré Stephanie Hagopian, vice-présidente de la sécurité de CDW. « Existe-t-il des moyens de déprécier les fonctionnalités qui se chevauchent ? Si c’est le cas, dépréciez et consolidez, puis utilisez l’argent que vous économisez pour investir là où vous avez un déficit. »