Le secteur de la santé progresse vers une posture de cybersécurité plus mature. Cependant, étant donné qu’il reste une cible d’attaque populaire, une plus grande attention est nécessaire. Résultats de Rapport sur le coût d’une violation de données 2023 a rapporté que les soins de santé ont connu le coût de violation le plus élevé du secteur pendant 13 années consécutives, à hauteur de 10,93 millions de dollars. En 2022, les 35 principales failles de sécurité mondiales ont exposé 1,2 milliard d’enregistrements, et 34 % de ces attaques ont touché le secteur public et les organismes de santé.
Les régulateurs ont réagi en exigeant davantage de directives pour le secteur de la santé. La Loi sur la cybersécurité de 2015 (CSA), article 405(d), Alignement des approches de sécurité du secteur des soins de santé, est la réponse du gouvernement pour accroître la collaboration sur les pratiques de sécurité du secteur des soins de santé. Dirigé par le HHS, la mission du programme 405(d) est de fournir des ressources et des outils pour éduquer, favoriser le changement de comportement et fournir les meilleures pratiques de cybersécurité afin de renforcer la posture de cybersécurité du secteur.
De plus, l’article 13412 de la loi HITECH a été modifié en janvier 2022 et exige que le HHS prenne en compte les « pratiques de sécurité reconnues » dans les activités spécifiques d’application et d’audit des règles de sécurité HIPAA lorsqu’une entité réglementée par la HIPAA est en mesure de démontrer que des pratiques de sécurité reconnues ont été mises en œuvre. lieu en continu pendant les 12 mois précédant un incident de sécurité. Ce programme volontaire ne constitue pas une sphère de sécurité, mais pourrait contribuer à atténuer les amendes et les recours en vertu des accords, ainsi qu’à réduire la durée et l’étendue des audits.
Les pratiques de sécurité reconnues
Les pratiques de sécurité reconnues sont des normes, des lignes directrices, des meilleures pratiques, des méthodologies, des procédures et des processus développés dans le cadre :
- Le cadre de cybersécurité du National Institute of Standards and Technology (NIST)
- Article 405(d) de la loi sur la cybersécurité de 2015, ou
- Autres programmes traitant de la cybersécurité et explicitement reconnus par la loi ou la réglementation
Il est évident que les organismes de santé sont guidés, voire incités, à suivre une approche programmatique de la cybersécurité et à adopter un cadre reconnu.
Comment un cadre de cybersécurité peut-il aider ?
En créant un langage commun : L’adoption d’un cadre de cybersécurité et l’élaboration d’une stratégie pour le mettre en œuvre permettent aux principales parties prenantes de commencer à parler un langage commun pour aborder et gérer les risques de cybersécurité. La stratégie alignera les objectifs commerciaux, informatiques et de sécurité. Le cadre est utilisé comme mécanisme permettant de mettre en œuvre la stratégie de cybersécurité dans l’ensemble de l’organisation, qui sera surveillée, les progrès et le budget communiqués aux hauts dirigeants et au conseil d’administration, la communication et les synergies avec les propriétaires de contrôle et le personnel. Les utilisateurs individuels et les cadres supérieurs commenceront à parler un langage commun en matière de cybersécurité, ce qui constitue la première étape vers la création d’une culture consciente des cyber-risques.
En maintenant la conformité : L’adhésion à un cadre de cybersécurité garantit que les organisations de soins de santé se conforment aux réglementations et normes industrielles pertinentes, telles que HIPAA. La conformité peut aider les organisations à éviter des sanctions juridiques, des pertes financières et des atteintes à leur réputation.
En améliorant les pratiques de gestion des risques liés à la cybersécurité : L’essentiel de la mise en œuvre de la gestion des risques de cybersécurité consiste à comprendre les actifs les plus précieux pour l’organisation afin que des mesures de protection appropriées puissent être mises en œuvre en fonction des menaces. L’un des principaux défis de la stratégie de cybersécurité du secteur de la santé consiste à savoir quelles données doivent être protégées et où se trouvent ces données. Les cadres acceptés reposent sur de solides principes de gestion des risques.
En augmentant la résilience : Les cyberattaques peuvent perturber les services de santé critiques et peuvent être coûteuses, avec des dépenses liées à la réponse aux incidents, à la récupération du système et aux responsabilités juridiques. L’adoption d’un cadre de cybersécurité peut aider les organisations à minimiser l’impact financier d’une violation ou d’une attaque en améliorant leurs capacités de réponse aux incidents, en minimisant l’impact de la violation et en récupérant plus rapidement.
En faisant preuve de confiance : Les patients confient leurs informations personnelles et médicales aux prestataires de soins de santé. La mise en œuvre d’un cadre de cybersécurité démontre un engagement à protéger ces informations et à maintenir la confiance des patients.
En fin de compte, l’adoption d’un cadre de cybersécurité contribue à protéger les données sensibles, à maintenir la continuité des activités, à préserver la réputation de l’organisation, à minimiser l’impact potentiel des attaques et à créer de la transparence dans les pratiques de cybersécurité, ce qui aboutit finalement à une culture de sensibilisation aux cyber-risques.
Cela semble bénéfique, non ? Mais quel cadre de cybersécurité ?
Cadre adaptable pour les soins de santé
Le HITRUST CSF a été initialement développé spécifiquement pour le secteur de la santé, est basé sur la norme ISO 27001 et intègre un certain nombre de cadres reconnus, notamment le NIST CSF. La plupart des organisations ont de multiples exigences de conformité et doivent ajuster les exigences de sécurité en fonction de leur paysage de menaces, puis gérer les risques en conséquence. Les exigences de sécurité évoluent constamment et un cadre adaptable est absolument nécessaire pour réduire le fardeau des RSSI et du personnel lié à la mise à jour continue de leurs cadres. À mesure que les menaces évoluent, à mesure que les réglementations et les cadres changent, le HITRUST CSF évolue également.
HITRUST offre les avantages énumérés ci-dessus, mais la mise en œuvre d’un cadre de cybersécurité est un voyage. Les organisations doivent réaliser des gains progressifs et réduire les risques….le HITRUST CSF permet une approche tremplin.
La nouveauté du CSF v. 11 est l’imbrication du contrôle dans les trois (3) types différents d’évaluations. Les types d’évaluation sont :
- HITRUST Essentials, préparation sur 1 an (e1) et évaluation validée (40 contrôles de base)
- HITRUST a mis en œuvre un an (i1) de préparation et d’évaluation validée (182 contrôles statiques basés sur des renseignements sur les menaces)
- HITRUST basé sur les risques, préparation sur 2 ans (r2) et évaluation validée * basée sur des facteurs de cadrage)
Cela crée un parcours progressif vers la mise en œuvre d’un cadre de cybersécurité tout en permettant le succès, l’adoption et la transparence.
Impliqué auprès de HITRUST depuis sa création et l’un des premiers évaluateurs, AT&T Cybersecurity peut vous aider dans votre parcours HITRUST.
