Progrès numériques et confiance numérique
La quête d'innovation dans presque tous les secteurs s'accompagne d'une nouvelle série de menaces à combattre en parallèle. Pour le secteur médical, le monde idéal pourrait se traduire par une efficacité sans faille pour les patients, les médecins et leur chaîne d'approvisionnement, une réduction des erreurs humaines, une amélioration des traitements, une baisse des coûts et une optimisation des systèmes. L'impact positif de la technologie sur le secteur de la santé ne fait aucun doute, mais malheureusement, la transition vers le numérique est à la traîne, ce qui pourrait s'expliquer en grande partie par le manque de confiance dans les systèmes numériques associés à des informations hautement sensibles, parfois même vitales, qui risquent d'être exposées.
En cette période où nous pratiquons assidûment la distanciation sociale afin de lutter contre la propagation du COVID-19, on constate une augmentation significative de la télésanté, également appelée téléconsultation, qui permet aux patients de bénéficier de services médicaux à distance. La connectivité offerte par la téléconsultation a apporté une valeur ajoutée considérable en termes d'efficacité au secteur des soins de santé. Avec le développement accéléré de la téléconsultation, on constate une forte augmentation du partage d'informations médicales protégées (PHI) et d'informations personnelles identifiables (PII) via le cloud sous forme de dossiers médicaux électroniques (EHR) avec les prestataires de soins de santé. Cependant, les progrès réalisés dans le domaine des soins de santé numériques offrent de nouvelles opportunités aux cybercriminels. Pour mettre les choses en perspective, cela a élargi la portée des défis en matière de cybersécurité, car il existe un risque accru que des fraudeurs mal intentionnés infiltrent l'environnement des soins de santé pour contrer une attaque et amplifier les vulnérabilités de son écosystème numérique.
Pour beaucoup, l'adaptation au nouvel environnement opérationnel imposé par la COVID-19 a également conduit les entreprises à accélérer leurs calendriers d'innovation et à adopter de nouvelles technologies, créant ainsi le risque que de nouveaux fournisseurs et partenaires aient accès à des données sensibles sur les patients.
Le besoin d'efficacité dans le secteur des soins de santé
Le secteur de la santé a toujours été très sensible aux coûts, mais à mesure que nous progressons vers une couverture universelle dans le domaine des soins de santé numériques, il est logique d'adopter des solutions de sécurité efficaces. L'efficacité est quantifiée en termes d'évaluation des capacités de sécurité existantes dans le cadre d'un budget fixe. Malheureusement, malgré l'augmentation de ces attaques, en particulier depuis le début de la pandémie, le secteur de la santé a été pris au dépourvu et n'était pas bien préparé à y faire face. Selon une enquête menée par la société de logiciels de sécurité Irdeto, 88 % des dirigeants de MedTech basés aux États-Unis ne pensent pas que leur organisation soit préparée à une cyberattaque. En cas de cyberattaque, les données confidentielles PHI et PII seront compromises, ce qui constituera une violation des exigences de conformité telles que la loi HIPAA (Health Information Portability & Accountability Act), le règlement général sur la protection des données (RGPD) et entraînera très probablement des amendes importantes.
Ces exigences de conformité ont certainement incité les RSSI et les responsables de la confidentialité à se concentrer sur la protection des données PHI et PII. Les données médicales étant extrêmement sensibles, les enjeux sont considérables. Cependant, les lois telles que l'HIPAA fonctionnent souvent à un niveau abstrait et ne garantissent pas toujours que les organismes de santé disposent d'une architecture de sécurité élaborée permettant de stocker les données sensibles des patients de manière sécurisée. Un autre facteur contribuant au ralentissement du développement numérique dans ce secteur est le fait que les spécialistes de la sécurité et de la numérisation sont encore très peu nombreux et ne constituent pas la priorité du secteur de la santé par rapport à d'autres secteurs.
Comment cette image se compare-t-elle à celle d'une nation qui embrasse le numérique ?
Si l'on prend l'exemple d'Israël, on constate clairement l'existence d'un écosystème favorable à l'innovation dans le domaine de la santé numérique, où les institutions, les hôpitaux et les organismes de santé sont désireux d'essayer de nouvelles choses et de remettre en question les approches obsolètes. La pandémie a mis en évidence une réussite incontestable en matière d'innovation dans le secteur de la santé : Israël a vacciné environ la moitié de sa population contre la COVID-19 en seulement deux mois.
Israël a pu y parvenir grâce à ses quatre organismes de santé (HMO), qui desservent l'ensemble de la population et sont capables de mettre en place avec succès des processus complexes à grande échelle dans des délais très courts. La preuve en est le programme de vaccination israélien, considéré par les experts comme le meilleur au monde.
Cybersécurité et défis technologiques liés aux services de santé numériques
Environ 60 % des prestataires de soins de santé ont fait des services numériques une priorité absolue afin de répondre aux besoins d'une grande partie de leur clientèle, habituée à l'efficacité numérique, au partage d'informations en ligne et au port d'appareils qui suivent leurs données médicales et stockent leurs informations. Il est important de mentionner que le risque de cyberattaques peut varier en termes de gravité de l'impact. En outre, la perte de données PII et PHI peut entraîner des pertes financières importantes pour les organismes de santé.
Les dossiers médicaux contiennent des informations médicales protégées sensibles qui ne peuvent être facilement modifiées ou supprimées. En fait, ces informations sont extrêmement précieuses et peuvent être vendues jusqu'à 363 dollars sur le marché noir. Les informations médicales protégées qui intéressent les cybercriminels comprennent :
-
Nom
-
Adresse
-
Numéro de téléphone
-
Numéro de sécurité sociale
-
Données biométriques
-
Images diagnostiques
Il n'est pas difficile de comprendre pourquoi les patients et les prestataires de soins de santé manquent de confiance. Les cyberattaques contre les organismes de santé du monde entier sont en augmentation et leurs conséquences peuvent être graves. Pour poursuivre notre quête d'efficacité et d'innovation, nous devons prendre les mesures appropriées pour sécuriser les données des patients, des médecins et des soignants en déjouant les personnes mal intentionnées. Ce n'est pas une tâche facile, mais les avantages en valent certainement la peine.
Mais tous les risques ne sont pas liés au cyberespace. Il y a sept ans, le site web healthcare.gov promettait de fournir des bourses d'assurance maladie gérées dans le cadre de la loi sur les soins abordables. Cependant, son lancement tant attendu a été entaché par de graves problèmes techniques, rendant difficile l'inscription du public à l'assurance maladie et provoquant le crash du site après seulement deux heures. Tout cela s'est produit sur un site web qui avait coûté au total 500 millions de dollars avant son lancement. Au vu de l'échec de cette initiative, il est clair que les défis ne se limitent pas toujours aux cybermenaces, mais peuvent également se résumer à une simple infrastructure technologique. La technologie a beaucoup évolué en sept ans, mais des échecs comme celui-ci ne font qu'accroître la méfiance à l'égard des systèmes de santé numériques. Il sera intéressant d'observer les tendances dans un monde post-pandémique : les organisations vont-elles recommencer à se désintéresser et à sous-investir ? Quelles seront les priorités ?
Réglementations visant à lutter contre cette menace : HIPAA et NIST
Le respect des réglementations qui protègent les informations médicales protégées (PHI) nécessite une combinaison de stratégies solides en matière de confidentialité et de sécurité. La loi HIPAA (Health Insurance Portability and Accountability Act) établit les bases de la protection des données des patients. La loi HIPAA s'applique aux entreprises de santé numériques, qu'elles soient sous contrat en tant que fournisseur (partenaire commercial) ou prestataire de soins de santé (entité couverte). Les tiers, en particulier ceux qui traitent des informations médicales protégées, peuvent exposer les entreprises du secteur de la santé à des violations de données et à des cas de non-conformité. En dehors de la loi HIPAA, l'Institut national des normes et des technologies (NIST) a publié un guide utile intitulé : « Cadre pour l'amélioration de la cybersécurité des infrastructures critiques ».
Le cadre du NIST met l'accent sur l'utilisation des moteurs commerciaux pour orienter les activités de cybersécurité et sur la prise en compte des risques liés à la cybersécurité dans le processus de gestion des risques de l'organisation. Le cadre comprend trois parties : le noyau du cadre, le profil du cadre et les niveaux de mise en œuvre du cadre.
Le cadre du NIST est un ensemble de directives en matière de cybersécurité communes à la plupart des organisations disposant d'une infrastructure critique. En fin de compte, les niveaux de mise en œuvre du cadre aident l'organisation à visualiser et à comprendre comment elle aligne ses activités de cybersécurité sur ses besoins, ses tolérances et ses ressources.
La règle de sécurité HIPAA et le cadre NIST peuvent tous deux réduire considérablement les risques liés à la cybersécurité pour les organismes ou prestataires de soins de santé. Plus le budget et les ressources alloués au personnel chargé de la sécurité informatique sont importants, mieux l'organisme sera armé pour faire face aux cybermenaces qui ne manqueront pas de se présenter.
Approches pour l'écosystème des soins de santé
Il est extrêmement important de trouver le juste équilibre entre innovation et protection. Pour y parvenir, il existe des outils et des pratiques de sécurité que nous pouvons mettre en œuvre afin de créer un écosystème de santé numérique plus sûr. Après tout, lorsqu'ils sont correctement appliqués, ils présentent de nombreux avantages. Voici quelques pratiques clés que les organismes de santé devraient adopter pour renforcer la confiance numérique :
-
Programme d'assurance de la conformité en matière de sécurité dans le cloud
-
Programme tiers d'évaluation des risques et de conformité
-
Sécurisé dès la conception
-
Services de détection et de réponse gérés 24 h/24, 7 j/7
-
Détection, surveillance et intervention grâce à la technologie
-
Évaluations régulières de la cyber-résilience
La COVID pourrait être le catalyseur qui changera non seulement les mentalités, mais aussi les décisions d'investissement dans le secteur de la santé. Nous sommes à un tournant, où les processus numériques et les gains d'efficacité ne peuvent plus être ignorés. À l'avenir, les nouvelles technologies de mégadonnées pourraient permettre de combler le fossé entre la confidentialité et une meilleure compréhension des données grâce à des couches d'anonymisation et de pseudonymisation. L'innovation nous fait avancer, mais le succès dépend de la manière dont nous y répondons.
Vous souhaitez en savoir plus sur la solution Alyne pour la conformité HIPAA et NIST? Pourquoi ne pas prendre rendez-vous avec un expert Alyne ici ?
