Demandez une démo

Attaque par ransomware de PracticeMax : Comment les organismes de santé peuvent sécuriser leur chaîne d'approvisionnement

Utilisez ces 5 conseils pour obtenir la visibilité nécessaire sur les risques liés aux associés.
Par :
Scott Lang
,
VP, Marketing produit
29 octobre 2021
Partager :
Blog practicemax ransomware 1021

Le fournisseur de solutions informatiques et de facturation pour le secteur de la santé PracticeMax a annoncé qu'il avait été victime d'une attaque par ransomware entre le 17 avril et le 5 mai. PracticeMax est un partenaire commercial des organismes de santé Humana et Anthem. Pendant la violation, un acteur non autorisé a accédé à plus de 4 000 dossiers de patients de Humana contenant des informations de santé protégées (PHI) et les a volés.

Cette attaque par ransomware est loin d'être la première à viser le secteur de la santé. En fait, l'année dernière, nous avons vu Ryuk se propager activement dans les systèmes hospitaliers. Et les cas d'attaques par ransomware liées aux soins de santé continuent d'augmenter. La violation de PracticeMax n'est que le dernier exemple en date des raisons pour lesquelles les organismes de santé ont besoin d'une meilleure prévention pour sécuriser les maillons les plus faibles de leurs chaînes d'approvisionnement : les fournisseurs tiers et les associés commerciaux. Dans ce billet, nous vous donnerons quelques conseils sur la façon de procéder.

5 conseils pour améliorer la gestion des risques des associés d'affaires

Pour avoir une meilleure visibilité sur les risques liés aux partenaires commerciaux à chaque étape du cycle de vie du fournisseur et être mieux préparé à une attaque de la chaîne d'approvisionnement, suivez les conseils suivants :

1. Connaître vos associés commerciaux - et les risques qu'ils représentent

La première étape pour réduire la surface d'attaque de vos tiers consiste à effectuer une évaluation des risques inhérents pour tous les partenaires commerciaux avant ou pendant l'intégration. Une évaluation du risque inhérent spécifique aux ransomwares fournira des informations sur des facteurs tels que :

  • Contrôles et outils de sécurité interne
  • Procédures de réponse aux incidents
  • Programmes de formation des employés à la sensibilisation à la sécurité

Vous pouvez ensuite utiliser les résultats, dans le contexte du type de données traitées, pour hiérarchiser vos partenaires commerciaux et adapter les activités de diligence raisonnable ultérieures.

Conseil de pro : pour accélérer le processus d'intégration et d'évaluation initiale des risques, envisagez d'utiliser une bibliothèque d'évaluations des risques des fournisseurs. Les évaluations de risques de ces référentiels doivent être basées sur une norme du secteur de la santé, telle que H-ISAC, et inclure des mises à jour dynamiques avec les dernières informations sur cyber, les risques commerciaux, financiers et de réputation.

2. Établir des profils complets de fournisseurs qui incluent les technologies de quatrième partie

Les profils actuels de vos associés commerciaux couvrent probablement le revenu annuel, le code de l'industrie, la propriété, la réputation et d'autres attributs. Cependant, ils ne fournissent probablement pas de visibilité sur les produits et services detierce partie utilisés par vos associés d'affaires. Comprendre quels produits et outils ils ont en place vous aidera à déterminer le risque de concentration lorsqu'une technologie de 4ème partie a été victime d'une violation de données (par exemple, Kaseya). Recherchez des solutions de gestion des risques de tiers qui cartographient automatiquement les relations avec les fournisseurs de technologie de quatrième partie pour simplifier le processus.

Liste de contrôle de la conformité des tiers à l'HIPAA

Téléchargez cette liste de contrôle utile pour obtenir des conseils prescriptifs sur l'évaluation des contrôles de sécurité des partenaires commerciaux conformément aux exigences de l'HIPAA.

Lire la suite
Liste de contrôle de conformité hipaa 1021

3. Effectuer des évaluations des risques liés aux associés en permanence, et pas seulement lors du renouvellement du contrat.

L'évaluation de vos fournisseurs lors de l'intégration est un bon début. Cependant, si vous limitez les réévaluations ultérieures à des périodes fixes, comme les renouvellements de contrat, vous passerez à côté de tous les risques qui surviennent dans l'intervalle. Il existe deux approches pour combler ces lacunes :

  1. Une approche proactive, où des évaluations complètes sont effectuées plus fréquemment.
  2. Une approche réactive, dans laquelle les évaluations des risques sont effectuées en réponse à des événements spécifiques.

Chaque approche présente des avantages et fournit des informations plus régulières pour vous aider à maîtriser les risques liés aux BA. Les approches proactives combinent une évaluation basée sur les contrôles, réalisée par le fournisseur, avec une analyse externe des menaces provenant d'Internet et du dark web, ainsi que des sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. La clé de cette approche est la normalisation et la corrélation des données de toutes les sources dans un registre unique des risques pour un contexte central, la quantification, la gestion et la remédiation.

Une approche réactive permet d'automatiser le déclenchement, l'émission et l'analyse d'évaluations spécifiques à un événement (par exemple, en réponse à l'attaque de SolarWinds) sur la base des relations avec des tiers décrites dans le conseil n° 2 ci-dessus. Dans tous les cas, vous repartez avec des informations plus régulières pour une prise de décision plus éclairée et basée sur les risques concernant votre chaîne d'approvisionnement.

4. N'ignorez pas l'intégration externe - les risques peuvent persister lorsque les relations avec les fournisseurs prennent fin.

Bien que l'attaque de PracticeMax ait impliqué un fournisseur actuel, il est important de s'assurer que vous appliquez la même rigueur au processus de désengagement qu'au processus d'engagement. Lorsque vous mettez fin à vos relations avec les BA, vous devez évaluer si ces derniers prennent des mesures telles que l'élimination des PHI et des actifs de vos patients conformément aux exigences réglementaires et aux meilleures pratiques du secteur. Sinon, vous risquez de devoir faire face à de lourdes amendes (demandez à Morgan Stanley). Nous avons constaté que peu d'entreprises abordent la question du risque lors de la phase d'intégration de leurs relations avec les BA. Recherchez des solutions qui vous permettent de planifier des tâches de révision des contrats afin de vous assurer que toutes les obligations ont été respectées, et d'émettre des évaluations de contrat personnalisables pour évaluer l'état d'avancement de l'intégration.

5. Automatiser les rapports pour une mise en correspondance efficace avec les exigences HIPAA et autres.

La règle de sécurité de l'HIPAA exige que les entités couvertes concluent un accord d'association commerciale (BAA) avec tout fournisseur tiers qui fournit des services au nom de l'entité. L'accord oblige les partenaires commerciaux à respecter les mêmes normes HIPAA que l'entité couverte, garantissant ainsi la sécurité des renseignements médicaux personnels des patients. Si vous traitez avec des dizaines, des centaines, voire des milliers de tiers, la tâche de collecter et d'analyser manuellement ces informations dans une feuille de calcul peut rapidement devenir écrasante. Recherchez des solutions qui non seulement automatisent la collecte et l'analyse des données sur les risques liés aux BA, mais qui produisent également des rapports spécifiques à l'HIPAA indiquant le statut de conformité et les éventuelles faiblesses avant de faire appel à vos auditeurs externes. Cela accélérera considérablement le processus d'atténuation des risques.

Prochaines étapes de la gestion des risques liés aux tiers dans le secteur des soins de santé

En adoptant une approche globale de la sécurité des associés commerciaux et en protégeant les données à chaque étape du cycle de vie des tiers, vous pouvez atténuer les risques et éviter de devenir la prochaine victime de violation de données par ransomware. Pour obtenir des conseils plus précis sur la manière dont Prevalent peut vous aider à répondre aux exigences de la règle de sécurité HIPAA en matière de risques liés aux partenaires commerciaux, téléchargez la liste de contrôle de la conformité des tiers HIPAA ou contactez-nous dès aujourd'hui pour une séance de stratégie.

Bonus : Si vous pensez qu'un associé a été victime d'une attaque par ransomware, utilisez ce questionnaire gratuit pour déterminer votre exposition.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

Postes connexes
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo