{"id":1242,"date":"2023-07-13T01:15:25","date_gmt":"2023-07-12T23:15:25","guid":{"rendered":"https:\/\/www.linkidoc.fr\/blog\/2023\/07\/13\/questions-reponses-nitin-natarajan-de-cisa-sur-le-renforcement-de-la-cybersecurite-dans-les-soins-de-sante\/"},"modified":"2023-07-13T01:15:27","modified_gmt":"2023-07-12T23:15:27","slug":"questions-reponses-nitin-natarajan-de-cisa-sur-le-renforcement-de-la-cybersecurite-dans-les-soins-de-sante","status":"publish","type":"post","link":"https:\/\/www.linkidoc.fr\/blog\/2023\/07\/13\/questions-reponses-nitin-natarajan-de-cisa-sur-le-renforcement-de-la-cybersecurite-dans-les-soins-de-sante\/","title":{"rendered":"Questions-r\u00e9ponses\u00a0: Nitin Natarajan de CISA sur le renforcement de la cybers\u00e9curit\u00e9 dans les soins de sant\u00e9"},"content":{"rendered":"
\n

TECHNOLOGIE SANT\u00c9\u00a0:<\/span> Comment le paysage de la cybers\u00e9curit\u00e9 pour les soins de sant\u00e9 a-t-il \u00e9volu\u00e9 ces derni\u00e8res ann\u00e9es\u00a0?<\/h2>\n

NATARAJAN\u00a0:<\/strong> Nous voyons la cybers\u00e9curit\u00e9 \u00e9voluer de deux mani\u00e8res. Nous constatons des changements chez les adversaires, qui \u00e9taient traditionnellement de grands acteurs de l’\u00c9tat-nation ou de grandes organisations cybercriminelles, et nous voyons beaucoup plus d’acteurs dans le paysage. Il existe d\u00e9sormais des cybercriminels et des organisations cyberterroristes de toutes tailles.<\/p>\n

Nous assistons \u00e9galement \u00e0 une \u00e9volution des menaces telles que Ransomware as a Service, qui permet \u00e0 n’importe qui d’\u00eatre un adversaire potentiel. Avant, il fallait recruter une \u00e9quipe et avoir l’expertise. Maintenant, vous avez juste besoin d’argent et de quelqu’un que vous n’aimez pas, et vous pouvez cr\u00e9er vos propres cyberattaques contre un nouvel ensemble de victimes.<\/p>\n

L\u00e0 o\u00f9 nous voyons l’autre partie de l’\u00e9volution, c’est dans l’espace des victimes. Auparavant, on avait l’impression que les cybercriminels ne ciblaient que les grandes entreprises et les grands gouvernements. Si je suis un petit h\u00f4pital rural ou un petit district scolaire rural, je n’avais pas \u00e0 m’inqui\u00e9ter d’un adversaire de l’\u00c9tat-nation qui viendrait apr\u00e8s moi. Mais nous voyons que ce n’est plus vrai. Nous voyons des victimes partout au pays, grandes et petites, publiques et priv\u00e9es, rurales et urbaines. N’importe qui peut \u00eatre une victime potentielle de cette nouvelle menace d’adversaires.<\/p>\n

Cette combinaison de l’augmentation de la fr\u00e9quence, du volume et de la sophistication des attaques par une base d’adversaires croissante, avec une base croissante de victimes potentielles, change vraiment le paysage des soins de sant\u00e9 et au-del\u00e0.<\/p>\n

Pendant longtemps, on a \u00e9galement eu l’impression que les soins de sant\u00e9 \u00e9taient exempt\u00e9s. M\u00eame si vous revenez \u00e0 la guerre et aux conflits traditionnels, vous ne bombardez jamais un h\u00f4pital. Mais nous constatons que les h\u00f4pitaux ne sont plus exempt\u00e9s. Nous voyons des cyberterroristes, des cybercriminels et des acteurs \u00e9tatiques s’en prendre aux \u00e9tablissements de sant\u00e9 et avoir un impact.<\/p>\n

Il ne s’agit pas seulement de revenus et de gains financiers. En fin de compte, une cyberattaque contre un h\u00f4pital devient un probl\u00e8me de s\u00e9curit\u00e9 des patients, et donc cet impact se fait sentir et se r\u00e9percute dans ces communaut\u00e9s. M\u00eame dans les zones urbaines o\u00f9 il y a beaucoup de prestataires de soins de sant\u00e9 ou beaucoup plus d’h\u00f4pitaux, l’impact de la perte d’une institution pour une p\u00e9riode quelconque se fait encore sentir. Ces forces \u2013 l’\u00e9volution de la base de l’adversaire et de la victime au cours des derni\u00e8res ann\u00e9es \u2013 continueront d’\u00e9voluer dans les ann\u00e9es \u00e0 venir. C’est ce qui m’inqui\u00e8te le plus.<\/p>\n

<\/strong><\/p>\n

TECHNOLOGIE SANT\u00c9\u00a0:<\/span> Existe-t-il certains facteurs qui rendent les soins de sant\u00e9 particuli\u00e8rement vuln\u00e9rables \u00e0 ces types d’attaques\u00a0?<\/h2>\n

NATARAJAN\u00a0:<\/strong> Je suis vraiment enthousiasm\u00e9 par les progr\u00e8s dans le domaine de la sant\u00e9. Nous regardons o\u00f9 vont aller les soins de sant\u00e9 dans les trois, cinq, sept prochaines ann\u00e9es, et c’est tout simplement incroyable. Mais avec cela vient une surface d’attaque \u00e9largie. La commodit\u00e9 de se connecter \u00e0 Internet apporte une vuln\u00e9rabilit\u00e9 suppl\u00e9mentaire. En ce qui concerne les soins de sant\u00e9, il y a eu une forte augmentation de l’adoption de la technologie au d\u00e9but de la pand\u00e9mie. Une augmentation des capacit\u00e9s de t\u00e9l\u00e9m\u00e9decine et de t\u00e9l\u00e9sant\u00e9 est apparue presque du jour au lendemain. Cela ne va pas dispara\u00eetre et, sans doute, cela va continuer \u00e0 augmenter et \u00e0 \u00e9voluer avec le temps.<\/p>\n

Cela va rendre les choses plus complexes pour le secteur de la sant\u00e9, non seulement en fonction du volume, de la port\u00e9e et de la croissance des d\u00e9fis que nous avons vus au cours des deux derni\u00e8res ann\u00e9es \u00e0 cause de COVID-19, mais aussi de ce que nous verrons dans les ann\u00e9es \u00e0 venir. Le fait que ces impacts puissent \u00eatre ressentis au chevet du patient est vraiment pr\u00e9occupant.<\/p>\n

\n

Mettre en \u0153uvre les cinq piliers de #z\u00e9roconfiance<\/a> l’architecture de s\u00e9curit\u00e9 peut aider #soins de sant\u00e9<\/a> organisations att\u00e9nuent les cybermenaces. @CISAgov<\/a> Le directeur adjoint Nitin Natarajan partage les meilleures pratiques en mati\u00e8re de cybers\u00e9curit\u00e9 \u00e0 #HIMSS23<\/a>: https:\/\/t.co\/pEsc4bMfZp pic.twitter.com\/0OCrY3ieM1<\/a><\/p>\n

\u2013 Magazine HealthTech (@HealthTechMag) 18 avril 2023<\/a><\/p>\n<\/blockquote>\n

TECHNOLOGIE SANT\u00c9\u00a0:<\/span> Quels types de strat\u00e9gies ou de technologies les organisations de sant\u00e9 peuvent-elles d\u00e9ployer pour am\u00e9liorer leur posture de cybers\u00e9curit\u00e9 et att\u00e9nuer les risques li\u00e9s \u00e0 ces cyberattaques\u00a0?<\/h2>\n

NATARAJAN\u00a0:<\/strong> Il y a quelques choses. Nous demandons toujours aux gens de revenir \u00e0 l’essentiel\u00a0: avoir des mots de passe forts et une authentification multifacteur. Ces capacit\u00e9s, ainsi que la mise \u00e0 jour et les correctifs logiciels r\u00e9guliers, sont d’une importance cruciale.<\/p>\n

Une autre piste sur laquelle nous nous concentrons est le mod\u00e8le Secure by Design, Secure by Default pour les produits technologiques. Comment s\u00e9curisons-nous d\u00e8s la conception ? Comment insistons-nous pour que les fabricants utilisent vraiment des choses comme des langages \u00e0 m\u00e9moire s\u00e9curis\u00e9e et examinent des programmes de divulgation de vuln\u00e9rabilit\u00e9s et d’autres mesures pour s’assurer que ce que nous achetons est s\u00e9curis\u00e9\u00a0? Comment pouvons-nous nous assurer qu’en tant que consommateurs, nous insistons l\u00e0-dessus aupr\u00e8s de nos fournisseurs et qu’on leur pose vraiment ces questions difficiles\u00a0?<\/p>\n

Alors, comment pouvons-nous nous assurer, en tant que consommateurs, que ce que nous achetons et ce que nous achetons est s\u00e9curis\u00e9 par d\u00e9faut\u00a0? Comment pouvons-nous nous assurer que, d\u00e8s le d\u00e9part, un certain niveau de s\u00e9curit\u00e9 est int\u00e9gr\u00e9 et que nous n’avons pas n\u00e9cessairement \u00e0 payer un suppl\u00e9ment pour un mod\u00e8le s\u00e9curis\u00e9 par rapport \u00e0 un mod\u00e8le non s\u00e9curis\u00e9\u00a0?<\/p>\n

Enfin, au sein de nos institutions et de nos soins de sant\u00e9, comment \u00e9loigner cette discussion des RSSI et des DSI et les \u00e9lever vraiment aux PDG et aux conseils d’administration\u00a0? Pendant des ann\u00e9es, nous nous sommes trop souvent attendus \u00e0 ce que le CISO ou le CIO prot\u00e8ge l’ensemble de l’entreprise. Souvent, lorsqu’ils parlent des d\u00e9fis et des vuln\u00e9rabilit\u00e9s de la cybers\u00e9curit\u00e9 avec les PDG et les conseils d’administration, ce n’est tout simplement pas compris – c’est une langue \u00e9trang\u00e8re. Comment pouvons-nous changer ce dialogue en demandant aux RSSI d’accepter simplement le risque, de changer le paysage et de prot\u00e9ger l’organisation pour, \u00e0 la place, \u00e9lever cette conversation vers les PDG et les conseils d’administration\u00a0? Comment inculquer r\u00e9ellement le sens de la cyber-responsabilit\u00e9 des entreprises \u00e0 ceux qui acceptent le risque\u00a0?<\/p>\n

Pour moi, c’est un tabouret \u00e0 trois pieds. Nous consacrons beaucoup de temps \u00e0 l’identification et \u00e0 l’att\u00e9nuation des risques. Nous oublions la troisi\u00e8me jambe de ce tabouret, qui est l’acceptation des risques, et cette acceptation des risques concerne vraiment les PDG et les conseils d’administration. Comment s’assurer qu’ils comprennent le risque qu’ils acceptent en fin de compte? Nous acceptons toujours un certain risque. Nous n’att\u00e9nuerons jamais tout, mais nous devons nous assurer que l’acceptation des risques est aussi bien inform\u00e9e que possible aux plus hauts niveaux de l’organisation.<\/p>\n

<\/strong><\/p>\n

TECHNOLOGIE SANT\u00c9\u00a0:<\/span> Sinon, comment les organisations de sant\u00e9 peuvent-elles renforcer leur culture de s\u00e9curit\u00e9 et s’assurer que tout le monde a la s\u00e9curit\u00e9 \u00e0 l’esprit\u00a0?<\/h2>\n

NATARAJAN\u00a0:<\/strong> Il s’agit d’impliquer tout le monde. Il s’agit de passer d’une solution informatique \u00e0 une solution organisationnelle et de s’assurer que non seulement les PDG et les conseils d’administration sont au courant, mais, franchement, que tout le monde est au courant. Cela inclut chaque clinicien, chaque employ\u00e9 de cet \u00e9tablissement qui prend en charge les soins cliniques et la cha\u00eene d’approvisionnement en aval. Vous devez \u00e9galement vous assurer que vous n’introduisez pas de nouvelles vuln\u00e9rabilit\u00e9s.<\/p>\n

Je veux dire, nous savons que certains h\u00f4pitaux d\u00e9pendent de la livraison juste \u00e0 temps et d’un certain nombre de fournisseurs, de sources et de contrats tiers. Comment vous assurez-vous que toutes les personnes avec lesquelles vous traitez sont en s\u00e9curit\u00e9 et qu’elles appliquent, franchement, le niveau de cybers\u00e9curit\u00e9 que vous souhaitez qu’elles appliquent\u00a0? Vous devez \u00e9galement vous assurer que vous leur posez ces questions, que vous choisissez des produits et des fournisseurs fortement ax\u00e9s sur la cybers\u00e9curit\u00e9 et que vous utilisez la cybers\u00e9curit\u00e9 pour guider votre prise de d\u00e9cision.<\/p>\n

Cela prend vraiment tout le monde. Les gens plaisantent sur qui cliquerait sur les liens de phishing, mais les gens cliqueront sur n’importe quoi. Les ordinateurs sont si r\u00e9pandus et disponibles dans les soins de sant\u00e9 de nos jours, et beaucoup de gens pensent encore qu’ils pourraient recevoir un million de dollars par e-mail. Nous devons donc \u00e9liminer cet instinct et nous assurer que les gens pensent avec un \u00e9tat d’esprit de cybers\u00e9curit\u00e9 dans tous les r\u00f4les de l’organisation. Nous ne devons pas simplement nous attendre \u00e0 ce que nos RSSI et nos \u00e9quipes informatiques et de cybers\u00e9curit\u00e9 r\u00e9solvent ce probl\u00e8me pour l’organisation. Tout le monde a un r\u00f4le \u00e0 jouer et chacun doit jouer son r\u00f4le.<\/p>\n<\/div>\n