8 étapes pour réduire les risques liés aux tiers dans le secteur de la santé

Découvrez comment transformer la gestion des risques liés à vos partenaires commerciaux pour passer d'une approche réactive à une approche proactive.

Personnel de Mitratech
Personnel de Mitratech 5 décembre 2023 9 min de lecture
Decorative image

Le secteur de la santé est confronté à une menace croissante de cyberattaques provenant de ses relations avec ses fournisseurs. L'adoption rapide des dossiers médicaux électroniques pour numériser les informations des patients, l'adoption d'appareils connectés à l'Internet des objets (IoT) tels que les trackers d'activité physique et les pacemakers, ainsi que la dépendance vis-à-vis de partenaires commerciaux pour des fonctions critiques rendent le problème encore plus aigu. Les organismes de santé sont susceptibles d'être confrontés à davantage de risques liés à l'évolution rapide des technologies et des relations commerciales, qui ne feront que s'intensifier.

Plusieurs violations très médiatisées survenues récemment illustrent clairement ce risque, comme les incidents impliquant l'American Medical Collection Agency (AMCA) et HCA Healthcare, où des contrôles de sécurité inadéquats chez des partenaires commerciaux ont conduit à la compromission de millions de dossiers de patients.

Malgré l'existence de réglementations telles que la loi HIPAA et de cadres de gestion des risques tels que la norme NIST SP 800-66, les organismes de santé continuent d'être confrontés à des violations de données par des tiers, ce qui entraîne des amendes substantielles et un contrôle réglementaire accru. De plus, les équipes modernes chargées de la sécurité et de la gestion des risques dans le secteur de la santé sont confrontées à des défis complexes en matière de gestion des risques liés aux tiers (TPRM), tels que le cloisonnement des informations sur les fournisseurs et l'insuffisance des méthodes d'évaluation.

Dans cet article, nous aborderons les 8 étapes que les organismes de santé doivent suivre pour identifier, gérer et réduire les risques liés aux partenaires commerciaux tiers. Nous examinerons également les résultats potentiels de la mise en œuvre d'une approche proactive et axée sur les processus en matière de sécurité des soins de santé et de gestion des risques liés aux partenaires commerciaux tiers (TPRM).

8 étapes pour améliorer la gestion des risques liés aux tiers

Les organisations doivent prendre des mesures claires pour identifier, gérer et réduire les risques liés à leurs partenaires commerciaux. Ces mesures aideront votre organisation à être plus proactive dans son programme de gestion des risques liés aux partenaires commerciaux tout au long du cycle de vie des fournisseurs.

1. Intégrer les exigences en matière de gestion des risques dans les contrats conclus avec les partenaires commerciaux

Pour améliorer de manière proactive votre programme de gestion des risques liés aux tiers (TPRM) dans le domaine de la santé, automatisez le cycle de vie des contrats. Cela garantit l'application et le suivi des clauses cruciales en matière de sécurité et de confidentialité des données dès le début. En adoptant une approche automatisée de la gestion du cycle de vie des contrats, vous garantissez que le contrat du partenaire commercial définit explicitement les responsabilités et les clauses relatives au droit d'audit. De plus, cette approche facilite le suivi et la gestion des accords de niveau de service (SLA), des indicateurs de performance clés (KPI) et des indicateurs de risque clés (KRI) de manière rationalisée. À cette étape, il est important de veiller à ce que vos capacités de gestion du cycle de vie des contrats soient pleinement intégrées à votre plateforme de gestion des risques tiers. Vous bénéficiez ainsi d'une gestion transparente des fournisseurs, de la conclusion du contrat à l'évaluation des risques, et toutes les parties internes peuvent consulter et gérer les contrats et les risques en fonction de leurs rôles.

2. Développer un inventaire centralisé de tous les tiers

Centralisez votre inventaire des fournisseurs tiers afin d'assurer une gouvernance efficace dans la gestion des risques liés aux partenaires commerciaux dans le secteur de la santé, en minimisant le risque que des relations non autorisées avec des fournisseurs aient un impact sur vos opérations informatiques. Réalisez l'inventaire des fournisseurs dans un système centralisé, et non dans des feuilles de calcul, afin que plusieurs équipes internes puissent participer à la gestion des fournisseurs et que le processus puisse être automatisé dans l'intérêt de tous.

Commencez par importer les fournisseurs dans une solution tierce de gestion des risques à l'aide d'un modèle de feuille de calcul ou d'une connexion API à votre système d'approvisionnement existant. Permettez aux équipes de l'entreprise de saisir facilement les informations clés sur les fournisseurs à l'aide d'un formulaire centralisé et personnalisable, associé à un workflow d'approbation. Cette fonctionnalité conviviale est accessible via une invitation par e-mail et ne nécessite aucune formation spécifique.

Une fois tous les prestataires de services regroupés, créez des profils complets contenant les informations démographiques des partenaires commerciaux, les technologies tierces, les scores ESG, les dernières informations commerciales, les détails relatifs à la réputation, l'historique des violations de données et les performances financières. Cette approche centralisée améliore la sensibilisation aux risques dans toute l'entreprise et fournit aux équipes d'approvisionnement un contexte précieux pour prendre des décisions éclairées en matière d'approvisionnement et de sélection. Cette approche présente l'avantage supplémentaire de permettre à l'organisation de réaliser des économies, car elle n'a plus besoin de maintenir des systèmes distincts fournissant des données cloisonnées.

3. Établir une carte des partenaires commerciaux afin de déterminer le risque lié à la concentration technologique

Au cours du processus de constitution de l'inventaire, identifiez les technologies tierces au sein de votre écosystème de partenaires commerciaux afin de mettre au jour les relations supplémentaires qui pourraient présenter des risques de concentration pour votre organisation. Cette étape est cruciale pour visualiser les voies d'attaque potentielles que les adversaires pourraient exploiter pour cibler votre entreprise, ce qui permet d'atténuer ou de corriger de manière proactive les vulnérabilités. Pour ce faire, procédez à des évaluations ciblées ou à des analyses passives.

Par exemple, si vous disposez d'une cartographie des partenaires commerciaux utilisant un outil logiciel compromis, vous pouvez hiérarchiser les fournisseurs à évaluer, en vous concentrant particulièrement sur ceux de premier plan ou essentiels à l'activité. Cette hiérarchisation garantit que toute exposition potentielle à des logiciels malveillants est évaluée de manière approfondie, en mettant stratégiquement l'accent sur les fournisseurs dont les perturbations opérationnelles pourraient avoir un impact plus prononcé sur votre organisation.

4. Réaliser une évaluation détaillée des risques inhérents afin de hiérarchiser les partenaires commerciaux

Une fois les partenaires commerciaux centralisés et répertoriés, procédez à des évaluations de notation des risques inhérents. Les critères utilisés pour calculer les risques inhérents comprennent :

  • Type de contenu requis pour valider les contrôles (par exemple, confidentialité des données, solvabilité financière, etc.)
  • Emplacement(s) et considérations juridiques ou réglementaires connexes (par exemple, RGPD, HIPAA, etc.)
  • Criticité pour les performances et les opérations de l'entreprise
  • Exposition aux processus opérationnels ou en contact avec les patients
  • Interaction avec des données de santé protégées
  • Niveau de dépendance à l'égard des tiers
  • Situation financière et santé
  • Réputation

À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs, définir les niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues en fonction des risques qu'ils représentent pour votre entreprise.

5. Évaluer la résilience des partenaires commerciaux et les plans de continuité

Dans le cadre de votre processus régulier de diligence raisonnable en matière de sécurité et de confidentialité des données, évaluez également vos partenaires commerciaux à l'aide de questionnaires ciblés sur les risques liés aux fournisseurs, conformes aux normes industrielles reconnues en matière de sécurité de la chaîne d'approvisionnement, telles que NIST 800-161 et ISO 27036. Les résultats de ces évaluations vous aideront à cibler les mesures correctives nécessaires. Optez pour des solutions qui offrent une automatisation des flux de travail, un examen et une analyse complets, une prise en charge de la gestion des preuves et des recommandations de mesures correctives intégrées afin de combler efficacement les lacunes en matière de sécurité.

Au cours du processus d'évaluation, demandez aux fournisseurs de logiciels de produire une nomenclature logicielle (SBOM). Les SBOM détaillent non seulement les composants qui constituent un logiciel, mais peuvent également expliquer les processus d'assurance qualité (QA) et d'évaluation de la sécurité utilisés pendant le processus de développement du logiciel. Cela s'avérera utile lors du processus de réponse aux incidents décrit à l'étape 7 ci-dessous.

6. Surveiller en permanence les partenaires commerciaux afin de détecter les cyberattaques

Gérer de manière proactive les risques liés aux partenaires commerciaux signifie être constamment vigilant face à la prochaine attaque, ce qui exige de votre équipe qu'elle recherche les signes avant-coureurs d'un incident de sécurité imminent. Les principaux domaines à surveiller comprennent les forums criminels, les pages onion, les forums d'accès spécial au dark web, les flux de menaces, les sites de partage de données pour les identifiants divulgués, les communautés de sécurité, les référentiels de code et les bases de données sur les vulnérabilités et les piratages/violations.

Pour rationaliser ce processus, envisagez d'adopter des solutions qui consolident les informations sur tous les risques et les présentent à l'échelle de l'entreprise. Cette approche consolidée facilite la corrélation des données de surveillance avec les résultats des évaluations et établit un registre des risques unifié pour chaque fournisseur. Cette intégration améliore l'efficacité des initiatives d'examen, de reporting et de réponse aux risques tout en réduisant les coûts grâce à l'élimination des licences logicielles redondantes.

De plus, veillez à intégrer les données opérationnelles, financières et relatives à la réputation provenant de tiers dans la surveillance des partenaires commerciaux. Cette intégration permet de contextualiser les conclusions en matière de cybersécurité et de mesurer l'impact commercial des incidents au fil du temps.

7. Testez votre plan d'intervention en cas d'incident impliquant un tiers

L'automatisation de la réponse aux incidents est essentielle pour réduire le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR), ce qui peut réduire l'impact des incidents tiers sur vos opérations. Envisagez de prendre les mesures suivantes pour mettre en place un modèle de réponse aux incidents tiers plus proactif :

  • Tirez parti d'un questionnaire centralisé de gestion des événements et des incidents pour réduire les temps de réponse et simplifier et normaliser les évaluations.
  • Suivez en temps réel la progression du remplissage du questionnaire afin de réduire les risques d'impact.
  • Permettre aux partenaires commerciaux de signaler eux-mêmes les incidents de manière proactive afin d'ajouter du contexte et d'accélérer les temps de réponse.
  • Utilisez des règles de workflow pour déclencher des playbooks automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
  • Fournir des conseils aux fournisseurs pour remédier aux problèmes, en les aidant à atteindre un niveau de risque acceptable pour votre organisation.

En centralisant la réponse aux incidents tiers dans un processus unique de gestion des incidents d'entreprise, vos équipes informatiques, de sécurité, juridiques, de confidentialité et de conformité peuvent collaborer efficacement pour atténuer les risques.

8. Évaluer les risques liés aux partenaires commerciaux externes

Les partenaires commerciaux qui ne travaillent plus avec votre organisation peuvent encore présenter des risques importants s'ils n'ont pas été correctement licenciés. Soyez proactif et mettez en place des procédures de licenciement afin de réduire les risques auxquels votre organisation est exposée après la fin du contrat.

Les principales mesures à prendre sont les suivantes :

  • Planifiez des tâches pour examiner les contrats afin de vous assurer que toutes les obligations ont été respectées, et utilisez des évaluations de contrats personnalisables pour évaluer leur statut.
  • Tirez parti des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion des accès, la conformité à toutes les lois applicables et les paiements finaux.
  • Stockez et gérez de manière centralisée les documents et certifications, tels que les accords de confidentialité, les accords de niveau de service, les cahiers des charges et les contrats.
  • Appliquer les mesures correctives nécessaires pour protéger l'entreprise.
  • Visualisez et traitez toutes les exigences de conformité restantes en mappant automatiquement les résultats d'évaluation aux réglementations ou cadres existants.

Veillez à utiliser des listes de contrôle éprouvées pour vous assurer que toutes les tâches sont effectuées conformément aux priorités de votre organisation en matière de gestion des risques.

Résultats d'un programme sain de gestion des risques liés aux partenaires commerciaux tiers

Une approche plus proactive dans votre programme de gestion des risques liés aux partenaires commerciaux présente plusieurs avantages.

Reconnaissance plus rapide des symptômes

En automatisant les processus de contractualisation, d'intégration, d'évaluation des risques et de surveillance des partenaires commerciaux, votre équipe réduit le temps généralement nécessaire pour collecter, analyser et exploiter manuellement les informations. Cela signifie que vous pouvez identifier plus tôt les risques potentiels liés aux partenaires commerciaux, dès le début de la relation ou lors d'une cyberattaque active, afin de prendre les mesures appropriées pour atténuer les conséquences négatives.

Diagnostic précis des causes sous-jacentes

En centralisant les informations provenant de tiers sur la cybersécurité, les opérations, la réputation et les finances, que ce soit lors de l'intégration ou dans le cadre d'une surveillance continue, votre équipe peut corréler les informations provenant de plusieurs sources avec les résultats des évaluations, identifier les risques potentiels supplémentaires et agir sur les risques hautement prioritaires. Cela simplifie également les rapports d'audit.

Chemin prescrit vers le bien-être

Grâce à des mesures correctives automatisées, à l'examen des preuves et à des contrôles compensatoires, une approche plus proactive de la gestion des risques liés aux partenaires commerciaux garantit que les tiers agissent sur leurs risques à un niveau acceptable pour votre organisation et qu'ils ont mis en place des pratiques de résilience commerciale pour répondre efficacement aux perturbations.

Les organismes de santé font généralement appel à des centaines de tiers pour fournir des services d'assistance essentiels. Les vulnérabilités des tiers peuvent gravement compromettre les soins prodigués aux patients. Il est donc essentiel que les hôpitaux disposent d'un processus permettant d'identifier, d'analyser et d'atténuer ces risques.

Prochaines étapes pour la gestion des risques liés aux tiers dans le secteur de la santé

La collecte des informations pertinentes pour analyser la posture de sécurité des partenaires commerciaux de votre organisation est essentielle à la mise en place d'un programme efficace de gestion des risques liés aux tiers. Pour en savoir plus sur la manière dont Prevalent peut aider votre organisation de soins de santé à concevoir un programme TPRM qui atténue les risques tout au long du cycle de vie des fournisseurs, téléchargez le livre blanc «8 étapes pour réussir la gestion des risques liés aux tiers dans le secteur de la santé » ou demandez une démonstration dès aujourd'hui.

 

Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.