Conseils essentiels pour réduire les risques liés aux tiers dans les soins de santé numériques

Note de l'éditeur : Cet article a été publié à l'origine sur spiceworks.com.

Les organismes de santé possèdent des données très sensibles, ce qui en fait des cibles pour les menaces cyber . S'ils accordent la priorité à la cybersécurité, ce n'est pas forcément le cas de leurs partenaires tiers. Alastair Parr, de Prevalent , propose des mesures concrètes pour réduire ce risque.

Aujourd'hui, les soins de santé sont numériques et l'interconnexion des médecins, des patients, des payeurs et des prestataires a ouvert de nouvelles possibilités passionnantes pour fournir des soins de meilleure qualité à un plus grand nombre de personnes et à moindre coût.

Cependant, les nouvelles opportunités s'accompagnent de nouveaux risques. Lorsqu'il s'agit des risques auxquels est confronté notre système de santé de plus en plus connecté et basé sur l'IA, les administrateurs, les décideurs politiques et d'autres parties prenantes importantes commencent à peine à les comprendre et à y faire face. Un système de santé numérique et à la demande peut être formidable, mais seulement si des acteurs malveillants ne peuvent pas franchir les barrières et s'emparer de certaines des informations les plus précieuses et les plus sensibles de la planète : les données médicales, financières et d'identification personnelle.

Si les systèmes de santé ont mis en place des programmes de cybersécurité, ils ne peuvent pas nécessairement en dire autant du nombre important et croissant d'organisations externes avec lesquelles ils sont en relation. La plupart du temps, ils ne savent tout simplement pas quelles mesures leurs partenaires tiers (également connus sous le nom d'associés commerciaux) ont prises pour empêcher les loups de s'approcher de la porte.

Mais au fil du temps, ils devront apprendre. Heureusement, les organismes de soins de santé peuvent prendre des mesures pour minimiser les risques liés aux tiers. Il est impératif qu'ils prennent des mesures pour éviter de faire la prochaine manchette, illustrant les conséquences d'une leçon apprise à la dure.

Histoires d'horreur dans le domaine de la santé

Les organismes de santé sont confrontés à de multiples défis dans la gestion des risques liés aux tiers, notamment la complexité des relations avec les fournisseurs, la nature interconnectée des systèmes de santé, l'évolution du paysage des menaces de cybersécurité et le simple volume des attaques. Plus précisément, ces organismes doivent faire face à l'adoption rapide des dossiers médicaux électroniques, à la prolifération des appareils IoT et à la dépendance à l'égard des associés commerciaux pour assurer des fonctions essentielles.

Ces facteurs contribuent à accroître le risque de cyberattaques provenant des relations avec les fournisseurs, ce qui nécessite de solides stratégies de gestion des risques pour les tiers. Les stratégies manquantes risquent de se transformer en histoires édifiantes.

Par exemple, la violation de Perry Johnson & Associates (PJ&A) montre ce qui peut arriver lorsque les contrôles de sécurité sont inadéquats parmi les associés commerciaux des organisations de soins de santé. Ce fournisseur de services de transcription médicale a subi une attaque cyber en 2023 qui a exposé plus de 9 000 000 d'informations personnelles de ses clients hospitaliers.

Bien que les clients de PJ&A n'aient pas signalé de cyberattaques contre leurs organisations à la suite de cet incident, plusieurs clients de PJ&A - dont Cook County Health (CCH) de Chicago, Northwell Health (le plus grand fournisseur de soins de santé de New York), Bon Secours Mercy Health et North Kansas City Hospital - ont tous annoncé que les données de leurs patients avaient été compromises dans le cadre de l'incident. Cette situation a donné lieu à plusieurs recours collectifs contre Northwell Health, qui n'aurait pas protégé les données des patients à la suite de la violation. L'hôpital North Kansas City a également rompu ses liens avec PJ&A à la suite de l'incident.

En outre, la fuite d'informations personnelles sensibles de HCA Healthcare était liée à des contrôles de sécurité inadéquats parmi les associés commerciaux, ce qui a compromis des millions de dossiers de patients.

Ces incidents soulignent l'importance cruciale de mettre en œuvre des mesures de sécurité rigoureuses et de faire preuve d'une diligence raisonnable lorsqu'on s'engage avec des fournisseurs tiers dans le secteur des soins de santé, sous peine d'être confronté à une surveillance réglementaire, à une perte financière ou à une atteinte irrémédiable à la réputation des victimes.

Règles de conduite et étapes utiles

Les organismes de santé sont soumis à divers cadres réglementaires et normes de gestion des risques, tels que la loi HIPAA (Health Insurance Portability and Accountability Act). L'HIPAA impose des exigences spécifiques en matière de protection des informations de santé protégées (PHI) et de gestion des relations avec les associés commerciaux tiers.

La conformité exige des organismes de soins de santé qu'ils mettent en œuvre de solides stratégies de gestion des risques, notamment en procédant à des évaluations des risques, en mettant en place des contrôles de sécurité et en veillant au respect des obligations contractuelles et des exigences réglementaires. Le NIST SP 800-66 est un cadre élaboré pour aider les organismes de prestation de soins de santé (HDO) à comprendre la règle de sécurité HIPAA et à fournir un cadre pour soutenir sa mise en œuvre.

Il s'agit là de quelques règles du jeu à l'heure où les soins de santé deviennent de plus en plus numériques et connectés. Les organismes de santé doivent s'y conformer tout en gardant à l'esprit les mesures qu'ils doivent prendre pour minimiser les risques liés à leurs relations commerciales avec d'autres organismes.

Ces organisations peuvent commencer par dresser un inventaire centralisé de toutes les tierces parties, qui comprend les éléments suivants

• Importer des fournisseurs dans une solution de gestion des risques d'un tiers. Il peut s'agir simplement de télécharger une feuille de calcul des fournisseurs ou d'utiliser une connexion API à un système d'approvisionnement existant.
• Permettre aux équipes de saisir des informations clés sur les fournisseurs à l'aide d'un formulaire centralisé et personnalisable, assorti d'un processus d'approbation. Cette fonctionnalité peut être accessible par le biais d'une invitation par courrier électronique et ne nécessite aucune formation spécialisée.
• Créer des profils complets de fournisseurs contenant des informations pertinentes telles que les données démographiques d'un associé, les technologies de quatrième partie, les scores ESG, les informations commerciales récentes, les détails relatifs à la réputation, l'historique des violations de données et les performances financières.

Cette approche facilite une gouvernance efficace de la gestion des risques liés aux collaborateurs en améliorant la connaissance des risques dans l'ensemble de l'organisation, en fournissant un contexte centralisé précieux pour des décisions éclairées en matière d'approvisionnement et de sélection, et en rationalisant les processus de gestion des vendeurs et des fournisseurs tiers.

Risque de concentration et surveillance permanente des menaces

Les organismes de soins de santé doivent également se préoccuper des risques liés à la concentration d'une trop grande activité sur un trop petit nombre d'éléments technologiques, ce que nous appelons le risque de concentration. Ce risque se multiplie avec l'ajout de nouveaux partenaires commerciaux.

Les organismes de santé peuvent identifier les risques potentiels de concentration technologique au sein de leur écosystème d'associés commerciaux en cartographiant les technologies de quatrième partie utilisées par les fournisseurs tiers et en procédant à des évaluations ciblées ou en utilisant l'analyse passive pour découvrir d'autres relations susceptibles de présenter des risques de concentration. Dans le cas d'une attaque de la chaîne d'approvisionnement en logiciels ou d'un incident de cybersécurité touchant un logiciel couramment utilisé, il peut être utile de disposer d'un inventaire des tiers qui utilisent cette technologie pour atténuer les risques potentiels.

Pour atténuer efficacement ces risques, les organisations doivent classer les fournisseurs par ordre de priorité en fonction de leur dépendance à l'égard des technologies essentielles, évaluer les vulnérabilités potentielles et mettre en œuvre des mesures correctives pour remédier aux risques identifiés. En outre, les organisations devraient diversifier leur portefeuille de fournisseurs et adopter une approche de la gestion des fournisseurs fondée sur les risques afin de réduire les risques de concentration technologique.

Une fois que certains garde-fous de base en matière de gestion des risques ont été établis, les organismes de soins de santé doivent surveiller en permanence les menaces potentielles.

Plusieurs stratégies permettront de surveiller les cyberattaques des associés d'affaires et d'atténuer de manière proactive les menaces émergentes. Il s'agit notamment de surveiller les forums criminels du Dark Web, les flux de menaces, les dépôts de code et les bases de données de vulnérabilités pour détecter les signes d'incidents de sécurité imminents ou actifs.

En outre, les organisations devraient tirer parti de solutions qui consolident les informations dans plusieurs domaines de risque et les présentent à l'échelle de l'entreprise, ce qui permet de corréler les données de contrôle avec les résultats de l'évaluation et d'établir un registre des risques unifié pour chaque fournisseur. Dans ce cadre, les organisations devraient intégrer des données opérationnelles, financières et de réputation de tiers dans la surveillance des partenaires commerciaux afin de fournir un contexte aux conclusions de cyber et de mesurer l'impact des incidents sur l'entreprise au fil du temps. Enfin, les organismes de santé devraient envisager d'utiliser des outils d'IA qui simplifient l'analyse des données pour repérer les menaces ou offrir des conseils basés sur les risques afin d'accélérer la remédiation.

Lorsqu'il s'agit des organisations qui traitent les informations les plus sensibles et potentiellement les plus précieuses au monde, le renforcement des défenses contre les violations de données est une tâche qui ne s'achève jamais vraiment. C'est une tâche qui s'étendra de plus en plus à l'audit des pratiques de sécurité des associés et partenaires commerciaux.

Il n'est jamais trop tôt pour prendre les mesures qui s'imposent, car les organisations qui peuvent faire pleinement confiance à leurs partenaires commerciaux sont celles qui prospéreront tout en étant bien traitées par les patients et les médecins.