Le fournisseur de solutions informatiques et de facturation pour le secteur de la santé PracticeMax a annoncé qu'il avait été victime d'une attaque par ransomware entre le 17 avril et le 5 mai. PracticeMax est un partenaire commercial des organismes de santé Humana et Anthem. Pendant la violation, un acteur non autorisé a accédé à plus de 4 000 dossiers de patients de Humana contenant des informations de santé protégées (PHI) et les a volés.
Cette attaque par ransomware est loin d'être la première à viser le secteur de la santé. En fait, l'année dernière, nous avons vu Ryuk
se propager activement dans les systèmes hospitaliers. Et les cas d'attaques par ransomware liées aux soins de santé continuent d'augmenter. La violation de PracticeMax n'est que le dernier exemple en date des raisons pour lesquelles les organismes de santé ont besoin d'une meilleure prévention pour sécuriser les maillons les plus faibles de leurs chaînes d'approvisionnement : les fournisseurs tiers et les associés commerciaux. Dans ce billet, nous vous donnerons quelques conseils sur la façon de procéder.
Pour avoir une meilleure visibilité sur les risques liés aux partenaires commerciaux à chaque étape du cycle de vie du fournisseur et être mieux préparé à une attaque de la chaîne d'approvisionnement, suivez les conseils suivants :
La première étape pour réduire la surface d'attaque de vos tiers consiste à effectuer une évaluation des risques inhérents pour tous les partenaires commerciaux avant ou pendant l'intégration. Une évaluation du risque inhérent spécifique aux ransomwares fournira des informations sur des facteurs tels que :
Vous pouvez ensuite utiliser les résultats, dans le contexte du type de données traitées, pour hiérarchiser vos partenaires commerciaux et adapter les activités de diligence raisonnable ultérieures.
Conseil de pro : pour accélérer le processus d'intégration et d'évaluation initiale des risques, envisagez d'utiliser une bibliothèque d'évaluations des risques des fournisseurs. Les évaluations de risques de ces référentiels doivent être basées sur une norme du secteur de la santé, telle que H-ISAC, et inclure des mises à jour dynamiques avec les dernières informations sur cyber, les risques commerciaux, financiers et de réputation.
Les profils actuels de vos associés commerciaux couvrent probablement le revenu annuel, le code de l'industrie, la propriété, la réputation et d'autres attributs. Cependant, ils ne fournissent probablement pas de visibilité sur les produits et services detierce partie utilisés par vos associés d'affaires. Comprendre quels produits et outils ils ont en place vous aidera à déterminer le risque de concentration lorsqu'une technologie de 4ème partie a été victime d'une violation de données (par exemple, Kaseya). Recherchez des solutions de gestion des risques de tiers qui cartographient automatiquement les relations avec les fournisseurs de technologie de quatrième partie pour simplifier le processus.
Liste de contrôle de la conformité des tiers à l'HIPAA
Téléchargez cette liste de contrôle utile pour obtenir des conseils prescriptifs sur l'évaluation des contrôles de sécurité des partenaires commerciaux conformément aux exigences de l'HIPAA.
L'évaluation de vos fournisseurs lors de l'intégration est un bon début. Cependant, si vous limitez les réévaluations ultérieures à des périodes fixes, comme les renouvellements de contrat, vous passerez à côté de tous les risques qui surviennent dans l'intervalle. Il existe deux approches pour combler ces lacunes :
Chaque approche présente des avantages et fournit des informations plus régulières pour vous aider à maîtriser les risques liés aux BA. Les approches proactives combinent une évaluation basée sur les contrôles, réalisée par le fournisseur, avec une analyse externe des menaces provenant d'Internet et du dark web, ainsi que des sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. La clé de cette approche est la normalisation et la corrélation des données de toutes les sources dans un registre unique des risques pour un contexte central, la quantification, la gestion et la remédiation.
Une approche réactive permet d'automatiser le déclenchement, l'émission et l'analyse d'évaluations spécifiques à un événement (par exemple, en réponse à l'attaque de SolarWinds) sur la base des relations avec des tiers décrites dans le conseil n° 2 ci-dessus. Dans tous les cas, vous repartez avec des informations plus régulières pour une prise de décision plus éclairée et basée sur les risques concernant votre chaîne d'approvisionnement.
Bien que l'attaque de PracticeMax ait impliqué un fournisseur actuel, il est important de s'assurer que vous appliquez la même rigueur au processus de désengagement qu'au processus d'engagement. Lorsque vous mettez fin à vos relations avec les BA, vous devez évaluer si ces derniers prennent des mesures telles que l'élimination des PHI et des actifs de vos patients conformément aux exigences réglementaires et aux meilleures pratiques du secteur. Sinon, vous risquez de devoir faire face à de lourdes amendes (demandez à Morgan Stanley). Nous avons constaté que peu d'entreprises abordent la question du risque lors de la phase d'intégration de leurs relations avec les BA. Recherchez des solutions qui vous permettent de planifier des tâches de révision des contrats afin de vous assurer que toutes les obligations ont été respectées, et d'émettre des évaluations de contrat personnalisables pour évaluer l'état d'avancement de l'intégration.
La règle de sécurité de l'HIPAA exige que les entités couvertes concluent un accord d'association commerciale (BAA) avec tout fournisseur tiers qui fournit des services au nom de l'entité. L'accord oblige les partenaires commerciaux à respecter les mêmes normes HIPAA que l'entité couverte, garantissant ainsi la sécurité des renseignements médicaux personnels des patients. Si vous traitez avec des dizaines, des centaines, voire des milliers de tiers, la tâche de collecter et d'analyser manuellement ces informations dans une feuille de calcul peut rapidement devenir écrasante. Recherchez des solutions qui non seulement automatisent la collecte et l'analyse des données sur les risques liés aux BA, mais qui produisent également des rapports spécifiques à l'HIPAA indiquant le statut de conformité et les éventuelles faiblesses avant de faire appel à vos auditeurs externes. Cela accélérera considérablement le processus d'atténuation des risques.
En adoptant une approche globale de la sécurité des associés commerciaux et en protégeant les données à chaque étape du cycle de vie des tiers, vous pouvez atténuer les risques et éviter de devenir la prochaine victime de violation de données par ransomware. Pour obtenir des conseils plus précis sur la manière dont Prevalent peut vous aider à répondre aux exigences de la règle de sécurité HIPAA en matière de risques liés aux partenaires commerciaux, téléchargez la liste de contrôle de la conformité des tiers HIPAA ou contactez-nous dès aujourd'hui pour une séance de stratégie.
Bonus : Si vous pensez qu'un associé a été victime d'une attaque par ransomware, utilisez ce questionnaire gratuit pour déterminer votre exposition.
2025 promet d'être une année importante pour la gestion des risques des tiers. Lisez nos principales prédictions en matière de gestion des risques de tiers...
12/12/2024
Découvrez comment une politique de gestion des risques liés aux tiers (TPRM) peut protéger votre organisation contre les risques liés aux fournisseurs.
11/08/2024
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024