La menace cybernétique est de plus en plus grande dans les établissements de santé. Dans ce contexte, il est essentiel de créer et de maintenir une culture de cyber-résilience dans les organisations, ce qui exige bien plus que de simples listes de contrôle de conformité.
Des failles de cybersécurité qui n’impactent par seulement les SIH
Alors que la cybersécurité est largement développée dans les structures sanitaire pour endiguer les attaques, la cyber-résilience, notion qui renvoie à un risque zéro non atteignable, requiert un changement de mentalité et un engagement fort de la direction, qui doit bâtir une véritable stratégie qui intègre la sécurité à la fois dans le pilotage général de l’établissement et dans ses opérations quotidiennes. Il s'agit en effet de créer les conditions de fonctionnement minimales dans le cas d'une faille dans le système de sécurité. Cela nécessite, tout d’abord, un investissement conséquent, la plupart des organisations américaines consacrant généralement entre 5% et 10% de leur budget informatique à la cybersécurité.
Mais une fois que les moyens financiers ont été déployés, la transformation commence par un changement de culture des agents, à tous les étages de l’organisation. Les failles de cybersécurité n’impactent pas seulement le service informatique. Elles menacent en effet l’ensemble de l’organisation, ce que les agents doivent avoir en tête au quotidien en prenant la mesure des conséquences des failles de sécurité, qu’elles soient dues à des attaques de phishing ou à un manquement aux protocoles.
L’IA et la complexité des solutions de santé engendrent plus de vulnérabilité
Dans ce cadre, les managers de santé doivent encourager la transparence et le signalement des incidents, sans crainte de représailles, comme dans toute procédure de gestion des risques qui se respecte. Les organisations dotées d’une solide culture de cybersécurité se caractérisent notamment par la conformité à la législation et disposent souvent de responsables, de comités et de formations régulières en cybersécurité.
Des risques liés à l'IA
On ne peut pas parler de pratiques digitales et de cybersécurité sans aborder, à un moment ou à un autre, l'intelligence artificielle (IA). Cette technologie est à la fois un puissant outil de sécurité mais aussi une arme pour les attaquants, d’autant plus que la majorité des dispositifs biomédicaux l’utilisent abondamment. La complexité de ces solutions de santé, ainsi que leur interconnexion à tous les niveaux de l’établissement créent de nouvelles vulnérabilités. Ces dispositifs, ainsi que l'infrastructure plus large des hôpitaux intelligents, sont de plus en plus ciblés par les cybercriminels.
Une multitude de fournisseurs qui accroît la surface d’attaque
Pour répondre aux besoins en dispositifs biomédicaux, mais pas que, les établissements de santé dépendent de fournisseurs spécialisés dans la gestion du big data en santé, du stockage cloud, de la facturation ou des logiciels médicaux. Chaque connexion avec un fournisseur accroît le risque, ce qui fait de la sécurité de ces intervenants extérieurs un enjeu crucial. Car la multiplication des fournisseurs accroît la surface d'attaque et multiplie les vulnérabilités potentielles. Il est donc nécessaire d'avoir un regard sur la manière dont les fournisseurs traitent les données sensibles.
Comment pallier le manque de personnel de cybersécurité ?
Tous les aspects de la cyber-résilience que nous venons d’exposer peuvent être surveillés par le cadre de santé au niveau de son service. Mais il est bien évident que des professionnels dédiés à ce risque agissent au quotidien. Or, il semble qu’actuellement la demande de ces professionnels dépasse l'offre, ce qui fragilise les établissements de santé. Pour combler ce manque, les organisations de santé doivent développer des stratégies de recrutement qui favorisent la diversité des talents et pourraient envisager des voies d'embauche non traditionnelles, telles que l'apprentissage, pour renforcer les effectifs. Enfin, les organisations qui peinent à recruter pourraient externaliser ces fonctions de sécurité auprès de fournisseurs disposant d'une expertise pointue et de conseils stratégiques. Mais les finances des hôpitaux peuvent-elles le leur permettre ?