Les hôpitaux new-yorkais sont confrontés à de nouvelles règles de cybersécurité. D’autres États suivront-ils ?

Selon le Bureau des droits civils du ministère américain de la Santé et des Services sociaux, environ 85 millions de patients ont vu leurs informations personnelles compromises au cours des neuf premiers mois de 2023, contre 38 millions au cours de la même période en 2022 et 43,9 millions en 2021. Près de 25 % des cyberattaques survenues en 2022 ont ciblé le secteur des soins de santé et la sécurité des données dans son ensemble reste un défi.

Dans le but de lutter contre ces menaces persistantes, la gouverneure de l’État de New York, Kathy Hochul, a proposé des réglementations en matière de cybersécurité applicables à tous les hôpitaux situés dans l’État afin de relever les défis de cybersécurité.

Les réglementations proposées visent à renforcer les efforts des hôpitaux pour protéger les systèmes et les informations non publiques contre les cybermenaces. La règle proposée obligerait les hôpitaux à établir un programme de cybersécurité et à prendre des mesures pour évaluer les risques internes et externes. La règle a été publiée dans le registre de l’État le 6 décembre, avec une période de commentaires de 60 jours se terminant le 5 février.

En outre, pour aider les hôpitaux, l’État de New York réservera 500 millions de dollars en subventions auxquelles les organisations pourront accéder pour mettre à niveau leurs technologies, embaucher des ressources et mettre en place des programmes de formation et de tests efficaces.

Considérations importantes de la nouvelle règle

Alors que de nombreuses cyberattaques continuent de frapper le secteur des soins de santé, il est impératif que les hôpitaux et les systèmes de santé prennent les mesures nécessaires pour empêcher tout accès non autorisé à leurs systèmes.

À New York, les hôpitaux ont déjà des responsabilités en matière de cybersécurité en vertu de la Health Insurance Portability and Accountability Act (HIPAA), qui fixe des normes minimales en matière de cybersécurité. Les réglementations proposées visent à compléter et compléter la règle de sécurité HIPAA et obligeraient les hôpitaux à établir, dans le cadre de leurs politiques et procédures, un programme de cybersécurité basé sur l’évaluation des risques de l’hôpital.

La règle proposée inclut la gouvernance de la cybersécurité, les contrôles techniques et les rapports externes. Bien que toutes ces exigences soient susceptibles de changer au cours du processus de commentaires, les domaines suivants pourraient être les plus difficiles à respecter pour de nombreux hôpitaux :

  • Effectuer une évaluation annuelle des risques et des vulnérabilités potentiels de l’hôpital.
  • Désigner un responsable de la sécurité de l’information, ou RSSI, pour élaborer et appliquer la politique de sécurité de l’hôpital et superviser le programme de cybersécurité de l’organisation, y compris l’approbation annuelle des politiques et la présentation des risques aux organes directeurs.
  • Mettre en œuvre des protocoles de réponse aux incidents adéquats et documentés.
  • Assurez-vous que l’authentification multifacteur est utilisée pour l’accès externe au réseau de l’hôpital.
  • Mettre en œuvre des procédures d’évaluation, d’évaluation et de test de la sécurité des applications développées en externe ; et garantir l’utilisation de pratiques de développement sécurisées pour les applications développées en interne.
  • Exigences de notification proposées : le RSSI d’un hôpital doit informer le service dans les deux heures suivant la détermination qu’un incident de cybersécurité s’est produit.

Selon la règle de New York, les hôpitaux auront un an pour se conformer aux exigences une fois promulguées ; cependant, l’obligation de signaler les incidents de cybersécurité au ministère de la Santé de l’État de New York entrerait en vigueur immédiatement. Apprenez-en davantage sur les exigences.

L’État de New York a reconnu un problème critique auquel les hôpitaux sont confrontés depuis de nombreuses années et prend désormais des mesures pour élever les normes de conformité des hôpitaux de l’État, ce qui améliorerait le programme d’évaluation des risques d’un hôpital afin de sauvegarder et de protéger la durabilité d’une organisation.

L’État est également prêt à aider financièrement les hôpitaux ; cependant, le succès des normes de conformité nouvellement proposées dépendra d’une mise en œuvre minutieuse et du soutien apporté aux hôpitaux dans un paysage en évolution.

D’autres États pourraient-ils suivre ?

Au premier semestre, plus de 220 hôpitaux ont été touchés par des cyberattaques, selon l’American Hospital Association. Alors que New York prend des mesures pour faire face à ces menaces croissantes, d’autres États suivront-ils ?

« Il est difficile de prédire si d’autres États suivront cet exemple, mais nous pouvons nous attendre à ce que les systèmes de santé à travers le pays considèrent la loi de New York comme un autre ensemble d’exigences directrices », déclare Gregory Vetter, directeur de RSM US LLP. « À l’instar des réglementations d’autres États ou secteurs, un programme de sécurité progressif recherchera les meilleures pratiques et exigences à inclure dans son cadre de sécurité. Même si les hôpitaux de l’État de New York seront tenus de s’y conformer, je m’attendrais à ce que de nombreux systèmes de santé dans d’autres États surveillent cela de près et intègrent des éléments de la règle dans leur programme actuel.

Pour plus d’informations, consultez nos ressources sur la cybersécurité et apprenez-en davantage sur les stratégies de cybersécurité pour les organisations de soins de santé.

Contributeurs RSM : Gregory Vetter, Amy Feldman, Paul Fountain, Jason Pymento

Vous pourriez également aimer...