8 étapes pour réduire les risques liés aux tiers dans le secteur de la santé

Le secteur des soins de santé est confronté à une menace de cyberattaques qui s'intensifie rapidement et qui provient de leurs relations avec les fournisseurs. L'adoption rapide des dossiers médicaux électroniques pour numériser les informations sur les patients, l'adoption d'appareils de l'Internet des objets (IoT) comme les trackers de fitness et les stimulateurs cardiaques, et la dépendance à l'égard des associés commerciaux pour les fonctions critiques rendent le problème encore plus aigu. Les organismes de santé sont susceptibles d'être confrontés à davantage de risques liés à l'évolution rapide des technologies et des relations d'affaires, qui ne feront qu'augmenter.

Plusieurs violations récentes et très médiatisées illustrent clairement ce risque, comme les incidents de l'American Medical Collection Agency (AMCA) et de HCA Healthcare, où des contrôles de sécurité inadéquats parmi les associés commerciaux ont conduit à la compromission de millions de dossiers de patients.

Malgré des réglementations établies telles que l'HIPAA et des cadres de gestion des risques tels que le NIST SP 800-66, les organismes de santé continuent d'être confrontés à des violations par des tiers, ce qui entraîne des amendes substantielles et une surveillance réglementaire. En outre, les équipes modernes de sécurité et de gestion des risques dans le secteur de la santé sont confrontées à des défis complexes en matière de gestion des risques liés aux tiers, tels que le cloisonnement des informations sur les fournisseurs et l'insuffisance des méthodes d'évaluation.

Dans cet article, nous aborderons les 8 étapes que les organismes de santé devraient suivre pour identifier, gérer et réduire les risques liés aux associés commerciaux tiers. En outre, nous examinerons les résultats potentiels de la mise en œuvre d'une approche proactive et axée sur les processus en matière de sécurité des soins de santé et de gestion des risques liés aux tiers associés.

8 étapes pour mettre le risque de tiers sur la voie d'une meilleure santé

Il existe des étapes claires que les organisations doivent suivre pour identifier, gérer et réduire les risques liés aux associés commerciaux. Ces étapes aideront votre organisation à être plus proactive dans son programme de gestion des risques liés aux associés commerciaux tout au long du cycle de vie des fournisseurs.

1. Intégrer des exigences en matière de gestion des risques dans les contrats d'associés commerciaux

Pour améliorer de manière proactive votre programme de gestion des risques des tiers dans le secteur de la santé, automatisez le cycle de vie des contrats. Cela permet d'assurer l'application et le suivi des clauses essentielles en matière de sécurité des données et de protection de la vie privée dès le départ. En adoptant une approche automatisée de la gestion du cycle de vie des contrats, vous garantissez que le contrat de l'associé commercial définit explicitement les responsabilités et les clauses de droit à l'audit. En outre, cette approche facilite le suivi et la gestion des accords de niveau de service (SLA), des indicateurs clés de performance (KPI) et des indicateurs clés de risque (KRI) d'une manière rationalisée. À ce stade, il est important de s'assurer que vos capacités de gestion du cycle de vie des contrats sont pleinement intégrées à votre plateforme de gestion des risques de tiers. De cette manière, vous pouvez gérer les fournisseurs de manière transparente, de la signature du contrat à l'évaluation des risques, et toutes les parties internes peuvent consulter et gérer les contrats et les risques en fonction de leur rôle.

2. Établir un inventaire centralisé de tous les tiers

Centralisez votre inventaire des fournisseurs tiers pour une gouvernance efficace de la gestion des risques liés aux associés commerciaux dans le secteur de la santé, en minimisant le risque que des relations avec des fournisseurs non autorisés aient un impact sur vos opérations informatiques. Réalisez l'inventaire des fournisseurs dans un système centralisé - et non dans des feuilles de calcul - afin que plusieurs équipes internes puissent participer à la gestion des fournisseurs et que le processus puisse être automatisé dans l'intérêt de tous.

Commencez par importer les fournisseurs dans une solution tierce de gestion des risques via un modèle de feuille de calcul ou une connexion API à votre système d'approvisionnement existant. Permettez aux équipes de l'entreprise de saisir les informations clés sur les fournisseurs de manière transparente à l'aide d'un formulaire d'admission centralisé et personnalisable avec un flux d'approbation associé. Cette fonctionnalité conviviale est accessible via une invitation par courriel et ne nécessite aucune formation spécialisée.

Lorsque tous les fournisseurs de services sont regroupés, créez des profils complets contenant les informations démographiques, les technologies de quatrième partie, les scores ESG, les informations commerciales récentes, les détails sur la réputation, l'historique des violations de données et les performances financières de l'associé commercial. Cette approche centralisée améliore la connaissance des risques dans l'ensemble de l'entreprise et fournit aux équipes chargées des achats un contexte précieux leur permettant de prendre des décisions éclairées en matière d'approvisionnement et de sélection. Cette approche présente l'avantage supplémentaire de permettre à l'entreprise de réaliser des économies en n'ayant plus à gérer des systèmes distincts fournissant des données en silos.

3. Établir une carte des associés pour déterminer le risque de concentration technologique

Au cours du processus d'établissement de l'inventaire, identifiez les technologies de quatrième partie au sein de votre écosystème d'associés commerciaux afin de découvrir d'autres relations susceptibles de présenter des risques de concentration pour votre organisation. Cette étape est cruciale pour visualiser les voies d'attaque potentielles que les adversaires pourraient exploiter pour cibler votre entreprise, ce qui permet d'atténuer de manière proactive les vulnérabilités ou d'y remédier. Pour ce faire, vous pouvez procéder à des évaluations ciblées ou à un balayage passif.

Par exemple, si vous disposez d'une carte des partenaires commerciaux utilisant un outil logiciel compromis, vous pouvez classer les fournisseurs par ordre de priorité pour l'évaluation, en vous concentrant en particulier sur les fournisseurs de premier plan ou critiques pour l'entreprise. Cette hiérarchisation permet de s'assurer que toute exposition potentielle à des logiciels malveillants est évaluée de manière approfondie, en mettant l'accent sur les fournisseurs dont les perturbations opérationnelles pourraient avoir un impact plus prononcé sur votre organisation.

4. Procéder à une évaluation détaillée du risque inhérent afin de classer les associés commerciaux par ordre de priorité

Une fois que les associés commerciaux sont centralisés et cartographiés, il convient de procéder à une évaluation du risque inhérent. Les critères utilisés pour calculer le risque inhérent sont les suivants

• Type de contenu requis pour valider les contrôles (par exemple, confidentialité des données, solvabilité financière, etc.)
• Lieu(x) et considérations juridiques ou réglementaires connexes (par exemple, GDPR, HIPAA, etc.)
• Criticité pour les performances et les opérations de l'entreprise
• Exposition à des processus opérationnels ou en contact avec les patients
• Interaction avec les données de santé protégées
• Niveau de dépendance à l'égard de tierces parties
• Situation financière et santé
• Réputation

À partir de cette évaluation des risques inhérents, votre équipe peut classer automatiquement les fournisseurs par niveau, définir des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues en fonction des risques qu'ils représentent pour votre entreprise.

5. Évaluer les plans de résilience et de continuité des entreprises associées

Dans le cadre de votre processus habituel de diligence raisonnable en matière de sécurité et de confidentialité des données, évaluez également les associés commerciaux à l'aide de questionnaires ciblés sur les risques liés aux fournisseurs qui s'alignent sur les normes industrielles connues en matière de sécurité de la chaîne d'approvisionnement, telles que NIST 800-161 et ISO 27036. Les résultats de ces évaluations vous aideront à cibler les mesures correctives nécessaires. Optez pour des solutions qui offrent l'automatisation du flux de travail, un examen et une analyse complets, un soutien à la gestion des preuves et des recommandations de remédiation intégrées afin de combler efficacement les lacunes en matière de sécurité.

Au cours du processus d'évaluation, il convient de demander aux fournisseurs de logiciels de produire une nomenclature des logiciels (SBOM). Les nomenclatures ne détaillent pas seulement les composants d'un logiciel, mais peuvent également expliquer les processus d'assurance qualité (AQ) et d'évaluation de la sécurité utilisés au cours du processus de développement du logiciel. Ces informations seront utiles au cours du processus de réponse aux incidents décrit à l'étape 7 ci-dessous.

6. Surveiller en permanence les associés d'affaires pour Cyber-Attaques

La gestion proactive des risques liés aux associés d'affaires implique une vigilance permanente face à la prochaine attaque, ce qui nécessite que votre équipe soit à l'affût des signes annonciateurs d'un incident de sécurité imminent. Les principaux domaines à surveiller sont les forums criminels, les pages en oignon, les forums d'accès spécial du dark web, les flux de menaces, les sites de collage d'informations d'identification, les communautés de sécurité, les référentiels de code et les bases de données de vulnérabilités et de piratages/violations.

Pour rationaliser ce processus, il faut envisager d'adopter des solutions qui consolident les informations sur tous les risques et les présentent à l'échelle de l'entreprise. Cette approche consolidée facilite la mise en corrélation des données de surveillance avec les résultats de l'évaluation et permet d'établir un registre des risques unifié pour chaque fournisseur. Cette intégration améliore l'efficacité de l'examen des risques, des rapports et des initiatives de réponse, tout en réduisant les coûts en éliminant les licences logicielles redondantes.

En outre, il convient de veiller à l'intégration des données opérationnelles, financières et de réputation des tiers dans le suivi des associés commerciaux. Cette intégration fournit un contexte aux conclusions de cyber et permet de mesurer l'impact commercial des incidents au fil du temps.

7. Testez votre plan d'intervention en cas d'incident d'un tiers

L'automatisation de la réponse aux incidents est essentielle pour réduire le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR), ce qui peut réduire l'impact des incidents de tiers sur vos opérations. Envisagez de prendre les mesures suivantes pour adopter un modèle de réponse aux incidents de tiers plus proactif :

• Exploiter un questionnaire centralisé de gestion des événements et des incidents pour réduire les temps de réponse et simplifier et normaliser les évaluations.
• Suivre en temps réel l'évolution de la réalisation du questionnaire afin de réduire les risques d'impact
• Permettre aux partenaires commerciaux de signaler eux-mêmes les incidents de manière proactive afin d'ajouter du contexte et d'accélérer les temps de réponse.
• Utiliser des règles de flux de travail pour déclencher des processus automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
• Fournir aux fournisseurs des conseils en matière de remédiation, afin de les aider à atteindre un niveau de risque acceptable pour votre organisation.

En centralisant la réponse aux incidents de tiers dans un processus unique de gestion des incidents d'entreprise, vos équipes informatiques, de sécurité, juridiques, de protection de la vie privée et de conformité peuvent collaborer efficacement pour atténuer les risques.

8. Prendre en compte les risques liés aux associés d'affaires délocalisés

Les associés commerciaux qui ne travaillent plus avec votre organisation peuvent toujours présenter des risques importants - s'ils n'ont pas été retirés correctement. Soyez proactif et créez des procédures d'exclusion pour réduire le risque d'exposition post-contractuelle de votre organisation.

Les principales mesures à prendre sont les suivantes :

• Planifier des tâches pour examiner les contrats afin de s'assurer que toutes les obligations ont été respectées, et utiliser des évaluations de contrats personnalisables pour évaluer l'état d'avancement.
• Utiliser des enquêtes et des flux de travail personnalisables pour rendre compte de l'accès au système, de la destruction des données, de la gestion de l'accès, de la conformité avec toutes les lois pertinentes et des paiements finaux.
• Stocker et gérer de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service, les contrats de service et les contrats.
• Appliquer les mesures correctives si nécessaire pour protéger l'entreprise
• Visualiser et traiter toute exigence de conformité restante en mettant automatiquement en correspondance les résultats de l'évaluation avec les réglementations ou les cadres existants.

Veillez à utiliser des listes de contrôle éprouvées pour vous assurer que toutes les tâches sont effectuées conformément aux priorités de votre organisation en matière de gestion des risques.