Trois tendances se sont dégagées prioritairement. L'amélioration de la collaboration et de la communication, la gestion des risques liés aux tiers et l'équilibre entre innovation et sécurité ont été mises en lumière par les experts réunis à Boston les 5 et 6 décembre pour le HIMSS Healthcare Cybersecurity Forum.
L’exploration portait notamment sur la quantification des risques, les perspectives cliniques de la cybersécurité et la sécurité des dispositifs médicaux. Parmi les intervenants figuraient des dirigeants du Health Sector Coordination Council (HSCC), de Northwell Health, de Forrester, du Federal Bureau of Investigation (FBI), du National Institute for Standards and Technology (NIST), etc. Rien que du gratin.
Si l'ensemble des présentations a démontré que les experts en cybersécurité des soins de santé sont conscients des risques auxquels le secteur est confronté, toutefois, hélas, une collaboration, une communication et un équilibre accrus sont toujours et encore nécessaires pour s'attaquer efficacement à ces risques et renforcer ce secteur. On se croirait en France. Les 20 millions d’euros « immunisants » du ministre Braun après la catastrophe du CHSF n’auraient-ils pas suffi ? « C’est pas Versailles ici ? ».
Collaboration et communication
Pour Christian Dameff, informaticien clinique à l'université de Californie à San Diego, « Il existe une disparité entre les « nantis » et les « démunis » de la cybernétique", corroborant l’avis des experts de l'université Vanderbilt et de l'université George Washington. « Nous représentons le cyber 1 %, a déclaré M. Dameff, en faisant référence au public de responsables de la cybersécurité des soins de santé de tout le pays qui ont participé au forum. « Nous sommes ici pour discuter des nuances de la technologie très avancée et des programmes de cybersécurité avancés pour améliorer la résilience de nos hôpitaux et fournir des soins cliniques. Cependant, qui n'est pas dans cette salle ? Combien d'hôpitaux, combien de personnes s'occupant des patients ne se font pas entendre et n’en ont pas les moyens ? »
Mais comment se fait-ce ? De petits établissements sans prise de conscience et sans gouvernance de leurs directions – ou pire -, sans moyens humains, sans ressources financières adaptées et surtout pérennes en OPEX, rémunérés avec des queues de cerises (par exemple tel CHU qui « offre » un CDI à 2 400 euros mensuels pour un poste de RSSI, sans formation continue [par exemple sur les firewalls] osent prétendre ne pas protéger tout à la fois leurs systèmes d’information, les appareils biomédicaux, les automates de gestion technique du bâtiment, les centrales électriques, l’IOT ? Mais qui sont ces gueux persifleurs qui ne savent pas demeurer à leur place ? Vous reprendrez bien un peu de brioche mon Cher directeur. Avec plaisir Monsieur le Ministre.
Malgré la compréhension approfondie des risques potentiels par l'industrie, le secteur de la santé est confronté à des volumes sans précédent de cyberattaques et de violations de données. Des plus petits hôpitaux ruraux aux plus grands systèmes de santé, toutes les organisations de soins de santé subissent des cyberrisques à gérer et des niveaux très variables de ressources et de compétences pour le faire.
Pas de quoi être « rassuré »
En outre, aux Etats-Unis, les défauts d'hôpitaux sont en hausse – (Note : attention au secteur privé en France) -, note M. Dameff. Dans le même temps, les organismes ont du mal à obtenir une cyber-assurance et à faire face à la hausse des primes, ce qui ne fait que creuser l'écart. Pour relever ce défi, il faut une collaboration, une coopération et une communication entre organisations homologues, plutôt qu'une concurrence, ont suggéré les experts. Il faut partager les informations, l’expérience, solliciter les agences gouvernementales et créer ou renforcer les associations professionnelles. « Ce qui est important, c'est que nous trouvions des moyens de communiquer et de nous rencontrer », a ajouté Costis Toregas, directeur du Cyber Security and Privacy Research Institute de l'université George-Washington. « Nous sommes tous dans le même bateau », a déclaré Greg Garcia, directeur exécutif du Healthcare Sector Coordinating Council (HSCC), lors d'une autre présentation. Ce sentiment a été exprimé à plusieurs reprises tout au long du forum de deux jours par divers intervenants.
M. Garcia a souligné l'abondance de ressources disponibles pour les organisations de toutes tailles, telles que les pratiques de cybersécurité de l'industrie de la santé : Managing Threats and Protecting Patients (HICP), qui offre des conseils pratiques en matière de cybersécurité aux petites et grandes organisations de santé. Le secteur fait des progrès en matière de collaboration, comme en témoigne la pléthore d'orientations et de cadres disponibles pour les organisations de toutes tailles. Toutefois, la communication et la collaboration doivent être renforcées pour combler le fossé entre les « nantis » et les « démunis ».
La gestion des risques liés aux tiers reste un point sensible
Au cours d'une table ronde animée par Erik Decker, vice-président adjoint et responsable de la sécurité des informations (CISO) chez Intermountain Healthcare, des experts ont discuté de l'état actuel de la gestion des risques liés aux tiers et des moyens de l'améliorer. En effet, il s’agit d’un point stratégique, défaut majeur de toutes les politiques de sécurité.
Decker a été rejoint par Kathy Hughes, vice-présidente et CISO de Northwell Health, et Steven Ramirez, CISO de Renown Health. Mme Hughes a détaillé le programme de gestion des risques liés aux tiers de Northwell Health qui, comme celui de nombreuses organisations, comprend une série de questions visant à obtenir une compréhension approfondie de la position de risque du fournisseur. Les organisations doivent tenir compte des types de données qu'elles partageront avec le fournisseur, de l'emplacement de ces données et des appareils et systèmes concernés. Des audits doivent être menés car la confiance n’exclut pas le contrôle. RGPD oblige.
Mme Hughes a également souligné encore une fois l'importance de la communication et de la collaboration tout au long de ce processus : « Il s'agit vraiment de s'assurer que vous avez établi ces relations interdépartementales avec votre équipe d'approvisionnement, votre équipe de conformité, votre bureau des affaires juridiques et votre équipe de gestion des risques. »
Cependant, Hughes a reconnu que la gestion des risques liés aux fournisseurs tiers est un « processus très manuel et laborieux » générateur de beaucoup de frictions. Decker a également noté la nature longue et fastidieuse de la gestion des évaluations des risques liés aux fournisseurs tiers sur la base d'une transaction par transaction. « Avons-nous le sentiment que c'est la bonne façon d'aborder ce problème, ou pourrions-nous faire mieux ? »
Les panélistes ont suggéré que des améliorations sont possibles à condition de le vouloir. Le partage d'informations entre différentes institutions et le passage à un état de surveillance - traçage - plutôt qu'à des évaluations transaction par transaction ont le potentiel de réduire les frictions. Le défi consiste à coordonner ces efforts et à employer des solutions qui permettent aux organisations de gagner du temps et de la main-d'œuvre tout en réduisant les risques.
Dans une autre session, Alla Valente, analyste principale chez Forrester, et Kara Wilson, chercheuse chez Forrester, ont noté l'expansion des écosystèmes tiers et la nécessité de mieux gérer les risques dans toute l’organisation. Valente a souligné l'importance de la prise en compte des tiers non traditionnels, tels que les chercheurs et les étudiants diplômés qui peuvent avoir accès à des données sensibles. Les organisations ne doivent pas négliger les tiers non traditionnels ainsi que les fournisseurs, car l'écosystème tiers continue de se développer.
La recherche de l'équilibre est la clé
Il doit y avoir un équilibre entre le partage des données et la confidentialité des données, entre l'innovation et la sécurité et entre la concurrence et la collaboration. Au cours d'une session principale, Anita Allen, professeur de droit à l'Université de Pennsylvanie, a évoqué le passage de la vie privée et de la confidentialité des données en tant qu’éthique permanente de la santé à la nouvelle norme de partage des données à l'ère numérique. « Ce n'est pas un secret que les attitudes à l'égard de la confidentialité des données de santé évoluent rapidement », a déclaré Mme Allen. Les gens partagent de plus en plus d'informations de santé personnelles à l'aide de technologies portables. Faciliter le flux des données de santé est devenu une priorité pour certaines entreprises et entités gouvernementales, dans le but d'améliorer les soins de santé.
Mais Mme Allen a suggéré que, dans ce voyage vers le partage des données, les principes clés de la conversation sur la confidentialité des données ont été perdus. « L'ancien récit comprend la vie privée, la confidentialité et la protection des données comme la voie vers une meilleure santé », a déclaré Allen. « Mais on doit se demander si le nouveau récit prend la vie privée aussi sérieusement qu'elle devrait l'être. » La réponse est dans la question. Allen a suggéré la nécessité d'un équilibre prudent entre l'ancien et le nouveau, tout en reconnaissant que la réalisation de cet équilibre est un processus subjectif.
Dans une session intitulée « Perspectives cliniques en matière de cybersécurité », les panélistes ont discuté des défis nuancés de l'équilibre entre l'innovation et la sécurité, ainsi que de l'équilibre entre l'objectif d'un clinicien de fournir des soins de qualité et la nécessité de maintenir la cybersécurité. « Les cliniciens sont axés sur la qualité », a expliqué Mark Sugrue, directeur général des solutions de santé chez FTI Consulting et modérateur du panel, lors de la session. « Il faut les amener à réfléchir à la manière dont la cybersécurité est liée à la qualité dans cet équilibre entre la qualité et notre besoin de partager et de sécuriser les informations. »
Eric Liederman, directeur de l'informatique médicale pour The Permanente Medical Group et responsable national de la protection de la vie privée, de la sécurité et de l'infrastructure informatique pour The Permanente Federation, a martelé que « le véritable défi consiste à faire en sorte que le personnel cybernétique soit conscient des aspects cliniques et que le personnel clinique soit conscient des aspects cybernétiques. Les organisations doivent avoir une gouvernance conjointe et des discussions avec la direction clinique afin d'atteindre cet équilibre. »
En plus des discussions sur l'équilibre entre la sensibilisation clinique et la cyber-sensibilisation et les idées nouvelles et anciennes sur la confidentialité des données de santé, les intervenants ont discuté des complexités de l'équilibre entre la transformation numérique et la cybersécurité, de l'équilibre entre la sécurité et l'équité, et plus encore.
Les responsables de la cybersécurité du secteur des soins de santé ont quitté l'événement avec autant de questions que de réponses à partager avec leurs pairs et leurs directions générales. Les défis demeurent devant nous.
Finalement, on peut constater une convergence transatlantique relative aux besoins et aux solutions. Mais tant en France qu’aux États-Unis, la « multiplicatite » – inflation de la multiplication – des agences, guichets, interlocuteurs, administrations et autres insuffisances de compétences et coordinations, dilue l’efficacité à la fois des messages et des services rendus. Ainsi on en est toujours à se demander si au cours des derniers mois l'ANSSI aura totalement réussi sa mission. Il n’est que de lire les différents guides (trop) orientés outils et non gouvernance, mal adaptés aux cibles prioritaires. La Cnil, toujours sous dotée, n’est pas très regardante quant aux mises en défaut au regard de la loi (RGPD 25/05/2018) de la plupart des établissements – comme à l’AP-HP et la fuite de plus d’un million de dossiers Covid-19 nominatifs -. Les gouvernements successifs n’ont pas non plus fait montre de clairvoyance stratégique, coopérative et prospective se contentant, comme à l’habitude de coups de menton médiatiques et de quelques cacahuètes financières ponctuelles, sans contrôle aucun va sans dire.
À quand une écoute du terrain et des moins nantis ? Ils vous diront de commencer par la gouvernance, la formation obligatoire des directions, la mise en situation critique de celles-ci, la décorrélation des DSI d’avec les RSSI, le rattachement de ces derniers au conseil d’administration, la facilitation de la formation des équipes techniques, l’organisation du partage de l’expérience des techniciens, la mise en commun des questions, des échecs et des succès, l’obligation de construction de PRA (plan de reprise d’activité), la mise en place effective et systématique de cellule de crise et d’exercices répétés comme c’est le cas pour le risque incendie -. la prise en compte du service pérenne et non de financements ponctuels et/ou interrompus (par exemple Hôpital 2012).
La sécurité c’est la gestion du risque donc de son appréciation, donc de choix, donc de prise de responsabilité, donc de management. Si l’État n’a pas agi correctement, c’est que l’enjeu n’est pas prioritaire pour lui car la solution est loin de n’être qu’une question d’argent. Pas de contrôle, pas de responsable, pas de coupable. Un haut responsable public, spécialiste et reconnu, un tantinet malicieux et agile de la métaphore, me glissait récemment à l’oreille que « Sur le sujet de la cybersécurité nous ne manquons pas de verticalité mais bien de transversalité. Les barons et les comtes, souvent nommés par le Prince, sont autant de nobles à particules, tous experts bien sûr. Hélas ce qui fait défaut n’est pas la particule mais la partie tête ».
« Si vous pensez que l’éducation coûte cher, essayez l’ignorance », dit le stratège et pourtant la non-qualité coûte toujours infiniment plus cher que la qualité. Au CH de Dax, selon son Retex, c’est 4,7 millions d'euros (Anap 2022). Pas grave, c’est vous qui réglez la facture via l’ARS. Médiocre mais commun. « Dès que l'on produit un effet l'on se crée des ennemis, pour être tranquilles ou populaires, soyez médiocres. » (Oscar Wilde). Message reçu 5/5. « Mais ce fut une aventure humaine sans pareille », aux dires de la directrice de la qualité. Peut-être pas pour les patients déprogrammés ou les ressources nationales. Heureusement que les fournisseurs ont « livré des agendas papiers gratuitement » (ANAP 2022). Pourvu que ce ne soit pas à mourir de rire !
Pause exceptionnelle de votre newsletter
En cuisine avec le Dr Dominique Dupagne
[VIDÉO] Recette d'été : la chakchouka
Florie Sullerot, présidente de l’Isnar-IMG : « Il y a encore beaucoup de zones de flou dans cette maquette de médecine générale »
Covid : un autre virus et la génétique pourraient expliquer des différences immunitaires, selon une étude publiée dans Nature