Faire de la cyber-résilience une priorité dans les soins de santé : mes conseils aux dirigeants

Par Derrick Lowe, directeur de la sécurité de l'information chez Orlando Health, un client de Palo Alto Networks

Lorsque je parle de la cyber-résilience aux leaders du secteur de la santé, je reçois beaucoup de hochements de tête affirmatifs et de commentaires positifs. Et pourquoi pas? La résilience des soins de santé, en général, et de la cybersécurité en particulier, est un concept facile à comprendre.

Mais c'est là le problème : pour de nombreux leaders de la santé, c'est souvent unconceptplutôt qu'une stratégieimpératif . Remarquez que j'utilise le mot « impératif » plutôt que le plus souvent utilisé « initiative ». En effet, il est vraiment impératif pour le secteur de la santé de s'attaquer à la cyber-résilience, et de le faire de toute urgence et avec un engagement inébranlable.

À première vue, la cybersécurité dans les soins de santé peut ne pas sembler si différente de la cybersécurité dans d'autres secteurs verticaux tels que les services financiers, la vente au détail, la fabrication ou l'éducation. Plusieurs d'entre eux sont hautement réglementés, ont des mandats de gouvernance des données exigeants et traitent des volumes énormes et croissants de données essentielles à leurs opérations commerciales quotidiennes et à long terme.

Mais il y a une différence importante :Un incident de cybersécurité dans le domaine de la santé peut littéralement coûter la vie à quelqu'un. Les implications financières et opérationnelles d'une violation de données ou d'un blocage de ransomware dans le secteur de la santé sont tout aussi onéreuses que dans d'autres secteurs verticaux. Mais lorsque les systèmes numériques vitaux sont menacés par des cyberattaques, vous vous trouvez dans un tout nouveau domaine de péril. À l'heure actuelle, la plupart d'entre nous ne connaissent que trop bien lehistoire horrible de l'hôpital de l'Alabama qui a subi une attaque de rançongiciel qui aurait précipité la mort tragique d'un nourrisson. Le besoin de cyber-résilience n'est pas plus criant que cela.

Le « pourquoi » de la cyber-résilience est facile : le « comment » n'est souvent pas

La bonne nouvelle est que les cadres de la santé comprennent rapidement que la cyber-résilience est un incontournable et une exigence majeure qui exige l'attention non seulement des RSSI et de leur équipe, mais aussi de l'ensemble de la suite C et du conseil d'administration de l'établissement de santé. Après tout, l'activité principale des organisations de soins de santé est d'assurer la sécurité et la santé des patients, aujourd'hui et à l'avenir. Et nous comprenons tous que les menaces numériques sont réelles et omniprésentes.

La mauvaise nouvelle est que la façon de prendre les mesures appropriées pour assurer la cyber-résilience est beaucoup moins claire et incontestablement difficile, même dans les organisations bien intentionnées. Malheureusement, certains organismes de santé considèrent encore les étapes et les pratiques de cybersécurité nécessaires pour assurer la résilience comme une sorte de perturbation de leurs processus opérationnels. Cela n'est pas sans rappeler le défi de «friction» très discuté que les entreprises soulèvent lorsqu'elles sont invitées à adopter des mesures de sécurité qui peuvent être perçues comme entravant les opérations commerciales ou l'expérience client.

Heureusement, je n'ai pas ce problème à Orlando Health, où nos cadres tournés vers l'avenir adoptent une vision holistique de notre mission, comprenant que la cybersécurité est essentielle pour placer le bien-être des patients au centre de tout ce que nous faisons. J'ai travaillé dans d'autres organisations où cet objectif n'était pas toujours clair pour les raisons suivantes :

• Un manque de compréhension de l'impact généralisé d'une cyber-résilience inadéquate.
• Contraintes budgétaires, généralement dues au fait que la cybersécurité n'est pas une priorité suffisamment élevée (ce qui renvoie au problème précédent).
• Un manque d'expertise en cybersécurité suffisante pour gérer l'accélération rapide et la diversification spectaculaire des menaces de cybersécurité.

Les soins de santé sont également quelque peu uniques en ce sens qu'en tant qu'industrie, nous avons été un peu en retard en ce qui concerne les investissements dans la cybersécurité, en particulier compte tenu de la hausse spectaculaire de la transformation numérique de la prestation des soins de santé et des opérations commerciales. Les organisations de santé s'appuient non seulement sur leurs applications, systèmes et réseaux numériques pour leurs besoins financiers et opérationnels, mais les opérations cliniques sont de plus en plus centrées sur le numérique. La mobilité, le cloud computing, la surveillance basée sur des capteurs et l'Internet des objets ne sont qu'une poignée de technologies numériques qui influencent la façon dont nous prenons soin des patients et remplissons notre mission principale.

6 étapes pour devenir plus cyber-résilient

Je recommande aux dirigeants du secteur de la santé de s'engager à prendre quelques mesures importantes pour faire de la cyber-résilience un impératif organisationnel.

1. Soutenez les efforts de votre équipe de sécurité pour s'appuyer sur un cadre standard, tel que le cadre NIST bien considéré et largement adopté. Bien sûr, le secteur de la santé a d'autres normes importantes dans ce domaine, telles que HITRUST et les volumineuses règles de confidentialité HIPAA. L'engagement envers les cadres standard de l'industrie signifie que vous n'avez pas à réinventer la roue chaque matin ou à chaque fois qu'une nouvelle menace émerge.

2. Assurez-vous d'adopter les meilleures pratiques qui résident dans ces cadres. Celles-ci incluent des évaluations annuelles des risques, des tests de pénétration réguliers, la tenue de journaux appropriés, etc. Vous devez également disposer d'un ensemble clairement défini de processus de réponse aux incidents ainsi que d'une compréhension de comment, quand et pourquoi impliquer les responsables de l'application des lois.

3. Rencontrez régulièrement votre CISO, votre CIO et d'autres responsables techniques pour effectuer une planification approfondie de l'atténuation des risques. Cela commence par une compréhension des processus et des opérations commerciales qui sont (A) vos domaines les plus impactés et (B) les plus exposés aux attaques. L'atténuation et la gestion des risques sont, par définition et selon de nombreuses réglementations en matière de soins de santé, une responsabilité de la haute direction, et non une décision technologique. Un aspect important de cette planification consiste à créer – et à prendre très au sérieux – des exercices sur table qui simulent des violations réelles et vos réponses étape par étape. Assurez-vous que toutes les parties prenantes clés participent, y compris les finances, le juridique, le marketing, les relations cliniques, publiques/médias/communautaires, les installations, l'informatique, etc. N'oubliez pas que le vieil adage « la pratique rend parfait » n'est pas vraiment le but. Rappelez-vous plutôt que "la pratique parfaite rend parfait".

4. Obtenez les faits sur vos métriques clés et la façon dont votre organisation correspond à ces métriques à tout moment. Prenez le courrier électronique, par exemple. Disons que vos systèmes gèrent 25 millions d'e-mails par mois. Vous avez besoin d'une analyse factuelle pour déterminer quel pourcentage du trafic mensuel régulier correspond à des tentatives de pénétration de vos défenses. Si, par souci d'argumentation, 7 % est votre charge utile d'attaque normale, que se passe-t-il lorsque ce nombre augmente ? Même situation avec des événements tels que les menaces internes, les attaques zero-day, etc.

5. Reconnaissez que de plus en plus de vos opérations quotidiennes de soins de santé sont potentiellement affectées par des cyberattaques. Cela signifie que des analyses approfondies de l'impact sur l'entreprise doivent être effectuées, en commençant par des conversations entre l'équipe de sécurité et les responsables non techniques dans tous les domaines. Dans mon organisation, nous aidons ces chefs d'entreprise à créer un manuel conçu pour les aider à conceptualiser, puis à exécuter, un ensemble de procédures pour assurer la résilience opérationnelle en cas de problème.

6. Il est essentiel de reconnaître et d'accepter que la sécurité et la cyber-résilience sont la responsabilité de chacun. Cela signifie non seulement le CISO et le CIO, mais surtout les chefs d'entreprise et le conseil d'administration. Et, compte tenu de la nature de plus en plus numérisée de la prestation des soins de santé, cela signifie en particulier les médecins et les cliniciens, y compris les infirmières et les techniciens médicaux.

En fin de compte, la résilience en matière de cybersécurité est impérative car elle touche àtous aspects de l'activité de l'établissement de santé. Sans cela, vous ne pouvez pas générer de revenus, vous ne pouvez pas faire de recherche et vous ne pouvez pas protéger votre réputation. Mais surtout, vous ne pouvez pas garantir aux patients la sécurité et la qualité des soins, qui sont au cœur de votre mission.

Pour en savoir plus, rendez-nous visiteici.