À l'ère numérique actuelle, la sécurisation des données de santé sensibles est primordiale. Face à la recrudescence des cybermenaces visant les organismes de santé, le département américain de la Santé et des Services sociaux (HHS) a pris des mesures proactives pour renforcer la cybersécurité en mettant en œuvre de nouveaux objectifs de performance. Ces objectifs visent à améliorer la sécurité et la résilience des systèmes et des données de santé en mettant en œuvre des mesures telles que l'amélioration des capacités de détection et de réponse aux menaces, le renforcement de la formation et de la sensibilisation du personnel, la sécurisation de l'accès aux informations des patients et la promotion de la collaboration et du partage d'informations au sein du secteur de la santé. En donnant la priorité aux efforts de cybersécurité, le HHS vise à protéger les données sensibles relatives aux soins de santé, à atténuer les cybermenaces et à renforcer la résilience globale de l'écosystème des soins de santé. L'introduction par le HHS de nouveaux objectifs de performance en matière de cybersécurité souligne l'importance de la préparation et de la résilience pour la protection des données sensibles relatives aux soins de santé. Alors que les organisations s'efforcent d'atteindre ces objectifs, la préparation proactive aux violations, telle que la gouvernance de l'information et les exercices de simulation sur table, apparaît comme un élément crucial de la préparation à la cybersécurité. Les dernières dispositions du HHS soulignent à quel point il est essentiel pour les organisations de soins de santé de disposer de plans solides de réponse aux incidents cybernétiques.

En quoi les nouveaux objectifs de performance du HHS diffèrent-ils de la loi HIPAA ?

Si les règles de la loi américaine HIPAA (Health Insurance Portability and Accountability Act) restent inchangées, les nouveaux objectifs de performance englobent des aspects plus larges de la cybersécurité, tels que la protection contre les cybermenaces au-delà des violations des informations médicales protégées (PHI), la protection des infrastructures critiques et la garantie de la résilience des systèmes de santé. Contrairement à la loi HIPAA, les nouveaux objectifs mettent l'accent sur une approche plus proactive de la gestion des risques liés à la cybersécurité, notamment par des mesures visant à identifier et à atténuer les vulnérabilités avant qu'elles ne puissent être exploitées, plutôt que de se concentrer uniquement sur le respect des normes réglementaires telles que la loi HIPAA. L'autre objectif qui ne figure pas dans la loi HIPAA est la nécessité d'une collaboration accrue entre les organismes de santé, les agences gouvernementales, les experts en cybersécurité et les autres parties prenantes afin de renforcer la résilience collective en matière de cybersécurité.

Pourquoi le secteur de la santé est unique

Contrairement à de nombreux autres secteurs, celui de la santé traite des informations sensibles relatives aux patients. Les incidents cybernétiques dans le domaine de la santé peuvent avoir un impact direct sur la sécurité des patients, entraînant des perturbations dans la prestation des soins, la compromission des dispositifs médicaux et même la mise en danger de la vie des patients. Par conséquent, les plans d'intervention en cas d'incident dans le secteur de la santé donnent la priorité à une réponse et à une reprise rapides afin de minimiser l'impact sur les soins aux patients.

Il existe également une forte conformité réglementaire, car les organismes de santé américains sont soumis à la loi HIPAA, qui impose la protection des données des patients et exige la notification rapide des incidents de sécurité. Les plans d'intervention en cas de cyberincident dans le secteur de la santé doivent être conformes à ces normes réglementaires et inclure des protocoles pour informer les autorités réglementaires, les patients et les autres parties prenantes en cas de violation de données ou de cyberattaque. Outre l'information des patients, les plans d'intervention prévoient également de leur fournir des services de prévention de la fraude, tels que la surveillance de l'identité et du crédit, ainsi que la surveillance spécifique des informations de santé telles que les dossiers médicaux, les comptes d'épargne santé et les informations d'assurance maladie. 
Si la plupart des organisations disposent d'infrastructures complexes, les établissements de santé ont des systèmes et des réseaux incroyablement complexes, car ils comptent de nombreux systèmes, appareils et applications interconnectés, notamment des dossiers médicaux électroniques (DME), des appareils médicaux et des plateformes de télésanté. Les plans d'intervention en cas de cyberincident dans le secteur de la santé doivent tenir compte des défis uniques posés par ces technologies diverses et garantir une coordination sans faille entre les équipes informatiques, cliniques et administratives lors d'un incident de sécurité.

La situation est d'autant plus difficile que de nombreux établissements de santé fonctionnent avec des ressources limitées, notamment des budgets informatiques restreints et un manque d'expertise en matière de cybersécurité. Les plans d'intervention en cas de cyberincident dans le secteur de la santé doivent être adaptés à ces contraintes, en mettant l'accent sur l'utilisation efficace des ressources, en tirant parti des partenariats externes et en donnant la priorité aux investissements dans les technologies et les formations qui améliorent les capacités de détection, d'intervention et de rétablissement en cas d'incident.

Garantir la conformité

Pour se conformer aux nouveaux objectifs du HHS en matière de cybersécurité, il sera nécessaire d'investir davantage dans des programmes de formation avancés pour les employés et dans la préparation. Une formation complète de sensibilisation à la cybersécurité, qui comprend des exercices de simulation sur table pour la préparation à la cybersécurité, peut permettre au personnel d'identifier et de réagir efficacement aux incidents de sécurité.

Les exercices sur table sont des scénarios simulés conçus pour tester la réponse d'une organisation à divers incidents de cybersécurité. Ces exercices impliquent la participation des principales parties prenantes qui se réunissent pour passer en revue des scénarios hypothétiques, identifier les lacunes dans les protocoles d'intervention et affiner les stratégies de réponse aux incidents. En offrant un environnement contrôlé pour la prise de décision et la collaboration, les exercices sur table aident les organisations à se préparer et à améliorer leur capacité à atténuer efficacement les cybermenaces.

Comment les exercices sur table aident les organisations à atteindre les nouveaux objectifs de cybersécurité du HHS :  

1. Alignement sur les objectifs stratégiques - Les objectifs de performance en matière de cybersécurité fixés par le HHS définissent des attentes claires pour les organismes de santé afin qu'ils renforcent leur posture en matière de cybersécurité. Les exercices sur table permettent à ces organismes d'aligner leurs capacités de réponse aux incidents sur les objectifs stratégiques définis dans les objectifs du HHS. En simulant des scénarios pertinents pour le secteur de la santé, les organismes peuvent adapter leurs exercices afin de traiter les menaces et vulnérabilités spécifiques identifiées dans les objectifs de performance.
2. Identification des faiblesses et des lacunes - Grâce aux exercices sur table, les entités de santé peuvent identifier les faiblesses et les lacunes de leurs défenses en matière de cybersécurité et de leurs protocoles de réponse aux incidents. En simulant des scénarios réalistes, les organisations peuvent mettre en évidence les domaines à améliorer dans les processus de détection, de confinement et de remédiation. Cette approche proactive permet aux organisations de traiter les vulnérabilités avant qu'elles ne soient exploitées par des acteurs malveillants, renforçant ainsi leur résilience globale.
3. Validation des plans d'intervention - Les exercices sur table permettent de valider et d'affiner les plans d'intervention en cas d'incident dans un environnement à faible enjeu. En testant l'efficacité des procédures d'intervention et des protocoles de communication, les organisations peuvent s'assurer que leurs équipes sont bien préparées à gérer efficacement les incidents de cybersécurité. Des exercices réguliers permettent une amélioration continue et permettent aux organisations de s'adapter à l'évolution des menaces et des exigences réglementaires.
4. Collaboration et coordination renforcées - La nature collaborative des exercices sur table favorise la collaboration et la coordination interfonctionnelles entre les équipes internes, les partenaires externes et les organismes de réglementation. En réunissant les parties prenantes de divers départements, notamment les services informatiques, juridiques, de conformité et la direction, les organisations peuvent faciliter le partage d'informations et la prise de décision en situation de crise. Cette approche collaborative renforce les relations et garantit une réponse unifiée aux cybermenaces.
5. Conformité et gestion des risques - À la lumière des objectifs de performance en matière de cybersécurité du HHS, les exercices sur table sont essentiels pour soutenir les efforts de conformité et les initiatives de gestion des risques. En démontrant des mesures proactives pour identifier et atténuer les cyberrisques, les organisations peuvent s'aligner sur les exigences réglementaires et les meilleures pratiques du secteur. Les exercices sur table aident également les organisations à hiérarchiser les investissements dans les contrôles de cybersécurité et à allouer efficacement les ressources pour traiter les domaines à haut risque.

Conclusion

Alors que les organismes de santé font face à un environnement de menaces en constante évolution et s'efforcent d'atteindre les nouveaux objectifs de performance en matière de cybersécurité fixés par le HHS, les exercices sur table apparaissent comme la pierre angulaire de la préparation à la cybersécurité. Ces exercices permettent aux organismes d'améliorer leur résilience et de répondre efficacement aux cybermenaces en simulant des scénarios réalistes, en identifiant les faiblesses et en favorisant la collaboration. À une époque où les incidents de cybersécurité sont de plus en plus fréquents, investir dans des exercices sur table n'est pas seulement une bonne pratique, c'est un impératif stratégique pour protéger les données sensibles dans le domaine de la santé.