La société Professional Finance Company (PFC), spécialisée dans la gestion des créances, a informé en mai les prestataires de soins de santé que les données de 1,9 million de leurs patients avaient été exposées lors d'une attaque par ransomware en février. Selon PFC, les informations médicales protégées (PHI) et les informations personnelles identifiables (PII) compromises lors de l'attaque pouvaient inclure les noms, les coordonnées, les soldes des comptes débiteurs, les informations de paiement des comptes, les dates de naissance, les numéros de sécurité sociale, les informations d'assurance maladie et les traitements médicaux.
Pourtant, la violation de données chez PFC n'est que le troisième incident de sécurité le plus important signalé à ce jour en 2022 dans le secteur des soins de santé, après celui qui a touché Shields Health Care Group et concerné 2 millions de patients, et celui qui a affecté Eye Care Leaders et touché plus de 2,9 millions de patients (un chiffre en augmentation).
Compte tenu de leur ampleur et de leur impact croissants, comment les professionnels de la sécurité et de la gestion des risques dans le secteur de la santé peuvent-ils atténuer l'impact de telles violations commises par des tiers?
1. Rejoignez une communauté de prestataires de soins de santé qui partagent des informations sur les risques liés aux partenaires commerciaux.
Les réseaux de renseignements partagés sont des bibliothèques de profils de risques des fournisseurs à la demande qui peuvent être « consultés » lorsque vous devez évaluer un partenaire commercial. Les profils de risques sont basés sur des contenus conformes aux normes de l'industrie et sont automatiquement mis à jour régulièrement avec des informations continues sur la cybersécurité, les activités commerciales, les finances et la réputation, ajoutées pour contextualiser et combler les lacunes entre les évaluations annuelles.
Cependant, la valeur d'un réseau de renseignements partagés va au-delà de la simple exploitation des profils de risque déjà établis pour évaluer le risque d'un partenaire commercial. Les réseaux offrent un avantage supplémentaire en matière d'analyse communautaire : ils permettent de visualiser les tendances générales en matière de risque dans un secteur donné à l'aide des données provenant de plusieurs fournisseurs du réseau.
Par exemple, si l'un des principaux risques parmi les fournisseurs d'un réseau est une politique de gestion des mots de passe insuffisante, vous pouvez concentrer vos efforts de gestion des risques sur l'hygiène des mots de passe de vos partenaires commerciaux afin de réduire de manière proactive le risque que des pirates informatiques exploitent ces mots de passe pour accéder aux données gérées par vos partenaires commerciaux. Vous pouvez ensuite valider les contrôles de gestion des mots de passe de vos partenaires commerciaux en utilisant les informations issues de la cyber-surveillance continue intégrée afin de déterminer si leurs mots de passe sont en vente sur le Dark Web.
Prevalent gère le Healthcare Vendor Network (HVN), la solution exclusive du Health Information Sharing and Analysis Center (H-ISAC) pour l'évaluation partagée des risques pour les tiers, basée sur les normes H-ISAC en matière de sécurité, de confidentialité des données et d'évaluation des risques. Chaque jour, des centaines d'entreprises s'appuient sur les milliers de profils de risques des fournisseurs répertoriés dans le HVN pour gérer les risques liés à leurs partenaires commerciaux.
2. Élaborer et tester un plan d'intervention en cas d'incident impliquant un tiers
Si un incident de cybersécurité affectait un partenaire commercial, seriez-vous en mesure de comprendre rapidement ses implications pour votre entreprise et d'activer un plan d'intervention en cas d'incident ? Le temps est un facteur essentiel dans la réponse aux incidents. Par conséquent, une approche plus proactive avec un plan d'intervention défini permettra de réduire le temps nécessaire pour détecter et atténuer les problèmes potentiels liés aux partenaires commerciaux. Un plan d'intervention programmatique en cas d'incident impliquant un tiers pourrait inclure :
- Un inventaire centralisé des partenaires commerciaux, incluant leur importance pour l'organisation.
- Évaluations prédéfinies de la résilience, de la continuité et de la sécurité des activités afin d'évaluer l'impact d'un incident
- La notation et la pondération permettent de se concentrer sur les risques les plus importants.
- Recommandations intégrées pour remédier aux vulnérabilités potentielles
- Rapport spécifique aux parties prenantes pour répondre à l'inévitable demande du conseil d'administration
Le service de réponse aux incidents tiers courants vous permet d'identifier rapidement et d'atténuer l'impact des incidents de cybersécurité liés à vos partenaires commerciaux en centralisant la gestion des tiers, en automatisant l'évaluation des événements, en notant les risques identifiés et en accédant à des conseils de remédiation.
3. Simplifier les rapports de conformité pour les audits inévitables
La loi HIPAA exige que les organismes de santé s'assurent que leurs partenaires commerciaux et autres tiers ont mis en place des contrôles de sécurité et de confidentialité afin d'empêcher tout accès indésirable susceptible d'affecter la confidentialité, l'intégrité ou la disponibilité des informations médicales protégées. Pour ce faire, les entreprises doivent procéder à une évaluation approfondie des risques liés aux fournisseurs avant l'audit. Même si votre organisme n'est pas confronté à un incident de sécurité impliquant un tiers, les auditeurs finiront par évaluer votre programme de gestion des risques liés aux partenaires commerciaux.
Une solution tierce de gestion des risques peut aider à simplifier le processus de collecte et d'analyse des risques liés aux partenaires commerciaux en :
- Évaluer les risques inhérents que les partenaires commerciaux font peser sur la relation, afin de contribuer à réduire les efforts de diligence raisonnable.
- Proposer un questionnaire dédié qui recense les réponses aux exigences spécifiques de la loi HIPAA.
- Élever et noter automatiquement les risques issus des évaluations afin de les hiérarchiser en fonction de la tolérance au risque de l'organisation.
- Y compris les recommandations de remédiation intégrées
- Création de rapports HIPAA personnalisés pour les auditeurs et les parties prenantes internes, qui visualisent le pourcentage de conformité et les domaines notables à améliorer.
N'oubliez pas de télécharger la liste de contrôle de conformité HIPAA pour obtenir une analyse complète de la manière dont la plateforme de gestion des risques tiers Prevalent peut vous aider à simplifier les audits HIPAA.
Les incidents de sécurité impliquant des partenaires commerciaux sont inévitables. Cependant, vous pouvez adopter une approche plus proactive en partageant les informations sur les risques avec vos pairs, en préparant un plan d'intervention en cas d'incident et en vous préparant à l'inévitable audit. Demandez une démonstration dès aujourd'hui pour découvrir comment notre solution approuvée par le H-ISAC peut vous aider.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
