Cybersécurité des soins de santé : la voie de notre hôpital vers une meilleure cyber-résilience

Les cyberattaques dans le secteur de la santé compromettent notre capacité à fournir des soins de qualité et peuvent mettre en danger la sécurité, voire la vie, de nos patients. Malheureusement, les pirates informatiques considèrent notre secteur comme une cible privilégiée, en particulier pour les attaques de ransomwares et de confidentialité des données. Aucun d’entre nous ne veut entendre la nouvelle qu’un hôpital a été piraté, ni être la personne de cet hôpital qui doit faire face aux conséquences. Chaque fois que j’entends parler d’une violation, j’éprouve un profond malaise.

Les cyberattaques sont inévitables, mais les attaques réussies ne doivent pas nécessairement l’être. En tant que leaders des soins de santé et de la cybersécurité, nous devons redoubler de vigilance pour comprendre nos vulnérabilités et fournir à nos organisations la meilleure défense possible, même si nous sommes confrontés à des contraintes budgétaires persistantes et à une pénurie de talents en cybersécurité.

Lorsque je regarde 2023 et au-delà, je vois trois domaines qui sont une priorité pour moi-même et pour beaucoup de mes collègues du secteur de la santé. Chacune de ces priorités présente à la fois des défis et des opportunités :

• La croissance des appareils IoMT et l’augmentation des vulnérabilités qu’ils posent.
• Un environnement réglementaire plus exigeant, non seulement en termes de technologie, mais aussi en termes de capacité à gérer l’aspect administratif.
• L’opportunité de tirer parti de l’automatisation, de l’intelligence artificielle et de la consolidation de la cybersécurité pour améliorer la protection et atténuer les effets des problèmes de budget et de personnel.

Voici les priorités qui, selon moi, sont essentielles à la mission des leaders de la cybersécurité des soins de santé :

1. Sécuriser l’IoMT

Les appareils IoMT représentent une énorme opportunité pour les praticiens d’améliorer la qualité des soins et pour les patients de récolter les bénéfices d’avancées thérapeutiques importantes. Mais la croissance spectaculaire de ces appareils met à rude épreuve les services de cybersécurité. Pourquoi?

Une plus grande surface d’attaque

IoMT augmente considérablement la surface d’attaque. Dans mon hôpital, nous disposons désormais d’environ 2 000 appareils IoMT et ce nombre est appelé à continuer de croître à mesure que nous modernisons davantage d’équipements.

Un manque de contrôle

En tant qu’équipes de cybersécurité, nous n’avons pas le même type de contrôle sur les appareils IoMT que nous avons avec d’autres appareils au sein de nos organisations, même l’IoT. Les fabricants n’ont pas de politiques de mise à jour cohérentes et les appareils IoMT présentent généralement de nombreuses vulnérabilités. Alors que de nouvelles réglementations en Europe et ailleurs encadrent leur utilisation, les constructeurs sont à la traîne en matière de sécurité.

Un manque de visibilité

Vous ne pouvez pas protéger ce que vous ne pouvez pas voir. Pour de nombreux établissements de santé, obtenir une visibilité sur la gamme complète des appareils IoMT doit être une priorité absolue pour 2023 et au-delà. Dans notre organisation, nous avons tendance à isoler les appareils IoMT du reste du réseau. Cela ne garantit pas qu’ils ne soient pas vulnérables, mais cela nous permet d’avoir une plus grande visibilité sur eux. Nous pouvons voir où se trouvent nos vulnérabilités et comment les adversaires tentent de les exploiter. Nous autorisons les appareils IoMT à accéder à notre réseau uniquement lorsqu’ils traversent notre pare-feu.

La consolidation de la cybersécurité est une autre initiative qui nous a aidé à atténuer les risques liés à l’IoMT. Avec la consolidation, nous bénéficions d’une plus grande visibilité et d’un meilleur contrôle via une console unique. Même si les fabricants d’IoMT ont mis du temps à offrir des protections adéquates, les ajustements de notre part ont stoppé les menaces avant qu’elles ne puissent sérieusement affecter les opérations.

2. Gérer la conformité réglementaire

En Belgique, nous avons fonctionné pendant plusieurs années sous le régime NIS1, les hôpitaux n’étant pas classés dans la catégorie des infrastructures critiques. Heureusement, cela change à mesure que nous passons à NIS2.

Dans notre organisation, nous nous préparons aux changements à venir en allant vers une certification ISO 27001. Nous avons construit notre cadre de cybersécurité conformément aux directives du NIST et du CIS, qui nous permettent de répondre aux exigences de conformité réglementaire.

L’un des défis auxquels font face les petits hôpitaux comme le nôtre est de trouver la main-d’œuvre nécessaire pour faire face à un environnement réglementaire changeant, particulièrement en ce qui concerne les exigences administratives. Nous avons choisi d’investir dans des solutions techniques, comme la décision d’adopter consolidation de la cybersécurité il y a trois ans.

Côté technique, nous avons une bonne visibilité sur nos réseaux. Nous disposons de la sécurité XDR, de la segmentation et de tous nos journaux sur une seule plateforme. Tout cela aide l’environnement réglementaire. Mais s’occuper de l’aspect administratif constitue pour nous, comme pour de nombreux établissements de santé, un défi de main-d’œuvre, principalement parce que nous sommes tous confrontés à une pénurie de personnel qualifié.

3. Tirer parti de l’automatisation, de l’IA et de la consolidation de la cybersécurité

La pénurie persistante de personnel est l’une des raisons pour lesquelles je considère l’automatisation, l’IA et la consolidation de la cybersécurité comme des priorités absolues pour le secteur de la santé. Plus nous pouvons faire de choses avec les machines, plus nous pouvons alléger le fardeau qui pèse sur nous-mêmes et sur notre personnel. Il en va de même avec l’utilisation de la consolidation pour éliminer les outils et centraliser les consoles de gestion.

Mais l’automatisation, l’IA et la cybersécurité ne sont pas simplement une solution à court terme à un défi actuel en matière de personnel : elles sont la clé du succès. l’avenir de la cybersécurité. Les humains ne peuvent pas rivaliser avec les machines lorsqu’il s’agit de tâches telles que trier des journaux ou reconnaître des modèles. Un humain peut être la dernière étape d’une action qu’un SOC pourrait entreprendre, mais les humains doivent s’appuyer sur des machines pour les aider à faire leur travail.

Regarder vers l’avant

Au-delà de ces priorités, il existe d’autres mesures que nous pouvons prendre en tant que leaders de la cybersécurité pour faire progresser notre secteur et soutenir la prestation de soins de santé modernes, sécurisés et de haute qualité.

Nous bénéficions tous d’un plus grand partage des connaissances. En cybersécurité, et notamment en santé, nous ne sommes pas des concurrents. Nous avons tous les mêmes objectifs. Plus nous pouvons collaborer, mieux nous nous portons en tant qu’industrie et en tant que communauté.

Je pense aussi que nous devons reconnaître nos limites, mais aussi nos forces. Les soins de santé ne sont peut-être pas le domaine le mieux rémunéré en matière de cybersécurité, mais les personnes qui entrent dans notre domaine ont une énorme opportunité de contribuer à la société. Nous devons trouver des personnes passionnées par le travail dans le domaine de la santé et, en tant que leaders, nous devons exprimer notre propre passion pour le travail dans le domaine de la santé. Pour moi, j’aime les défis importants ainsi que l’opportunité de contribuer au bien commun.

Encore une chose à retenir : cela peut sembler évident, mais si vous êtes un leader en matière de cybersécurité dans le secteur de la santé, créez un plan. N’achetez pas simplement des outils parce qu’ils offrent une solution rapide. Faites une feuille de route et sachez où vous allez. Et si la feuille de route englobe des stratégies pour l’IoMT, la conformité, l’automatisation, l’IA et la consolidation, vous êtes déjà sur la bonne voie.

Pour en savoir plus, visitez-nous ici.

Wendy Roodhooft est responsable de la sécurité à l’AZ Vesalius, un hôpital leader en Belgique.