Les pénuries de carburant et la hausse des prix du gaz générées par l’attaque du ransomware Colonial Pipeline en mai préfigurent les effets désastreux et de grande envergure des cyberattaques sur les infrastructures critiques. SolarWinds, JBS, Kaseya et un torrent d’autres cyberincidents très médiatisés ont attiré l’attention du public américain et des plus hauts niveaux du gouvernement, conduisant à une vague d’actions fédérales, y compris la nomination du tout premier directeur national de la cybersécurité. , l’attribution officielle de l’attaque SolarWinds à la Russie, la publication d’un décret imposant de nouvelles normes de sécurité pour les logiciels sur les listes d’approvisionnement fédérales et une multitude de propositions législatives pour améliorer la cybersécurité du pays.
Bien que ces cyberincidents importants aient déclenché plusieurs initiatives de cybersécurité, les décideurs ont accordé relativement peu d’attention aux cyber-risques potentiels considérables dans le secteur de la santé. L’attaque du ransomware WannaCry qui a détruit le National Health Service du Royaume-Uni en 2017 a réveillé les organisations de santé du monde entier, mettant en lumière le besoin urgent d’investissements proactifs dans la cybersécurité. Et pourtant, les organisations de soins de santé aux États-Unis restent une cible vulnérable, à la traîne par rapport aux autres industries sur les mesures clés de la cyber-préparation.
Alors que la résurgence des cas de COVID-19 étend la capacité hospitalière à la limite, elle nous rappelle à quel point il est essentiel que notre infrastructure de santé soit résiliente en temps de crise. Avec la forte augmentation des attaques de ransomware contre les établissements de santé pendant la pandémie et le premier décès attribué à une attaque de ransomware en 2020, il est clair que les acteurs malveillants sont capables de compromettre les infrastructures de santé critiques, depuis les réfrigérateurs automatisés qui stockent le sang produits pour les chirurgies aux tomodensitogrammes qui sont essentiels pour le triage des patients traumatisés.
En effet, la récente recrudescence des cyberattaques contre les organisations de soins de santé a incité la Cybersecurity and Infrastructure Security Agency, le FBI et le Department of Health and Human Services (HHS) à publier un avertissement conjoint concernant « une menace de cybercriminalité accrue et imminente pour les hôpitaux américains et les fournisseurs de soins de santé. » Dans le même temps, de nombreux hôpitaux atteignent à nouveau une capacité de pointe en raison de la variante Delta, ce qui rend la cybersécurité plus importante que jamais.
Le mauvais état de la cybersécurité des soins de santé
En 2017, le groupe de travail sur la cybersécurité de l’industrie des soins de santé (HCIC) créé par le HHS a publié un rapport au Congrès dans lequel il affirmait que la cybersécurité des soins de santé était dans un « état critique ». Quatre ans plus tard, l’évaluation du Groupe de travail sonne toujours vraie. Depuis le début de la pandémie de COVID-19, le taux d’attaques de ransomware a grimpé en flèche dans tous les secteurs, et les soins de santé ont été la cible disproportionnée de telles attaques. L’enquête HIMSS 2020 sur la cybersécurité a révélé que 70 % des hôpitaux interrogés avaient subi un « incident de sécurité important » au cours des douze derniers mois, y compris des attaques de phishing et de ransomware qui ont entraîné la perturbation des opérations informatiques (28 %) et des fonctions commerciales (25 %). , ainsi que des violations de données (21 %) et des pertes financières (20 %).
Les organisations de soins de santé sont une cible attrayante pour les acteurs de la menace motivés financièrement, car leurs vastes surfaces d’attaque permettent aux cybercriminels de trouver relativement facilement les vulnérabilités et de monétiser leurs exploits. L’adoption de la loi HITECH en 2009 a incité les investissements dans les technologies de l’information de santé à moderniser le système de santé américain, conduisant à une connectivité sans précédent et à une expansion de l’utilisation des dispositifs médicaux. Aujourd’hui, les systèmes de dossiers de santé électroniques sont au cœur de l’organisation de la santé, connectant les dispositifs médicaux à d’autres applications pour fournir une image plus globale du bien-être des patients. De plus, les États-Unis comptent en moyenne 10 à 15 dispositifs médicaux en réseau par lit d’hôpital, ce qui signifie que les grandes organisations de santé sont confrontées à la tâche herculéenne de sécuriser des dizaines de milliers de dispositifs médicaux, dont beaucoup sont assez faciles à pirater. La numérisation des infrastructures de santé a catalysé des avancées majeures dans les soins aux patients, mais a également créé d’importantes opportunités d’attaque. Un seul actif vulnérable peut permettre à un acteur malveillant de prendre pied dans l’organisation et compromettre la confidentialité, l’intégrité et la disponibilité des données des patients et des services médicaux.
Dans le même temps, les informations de santé protégées sont beaucoup plus lucratives que les informations de carte de crédit. Les criminels peuvent gagner entre 10 et 1 000 dollars par dossier médical volé, selon leur exhaustivité. Cette combinaison d’une large surface d’attaque et de fortes incitations financières fait des organisations de santé une cible attrayante pour les acteurs de la menace.
Pour aggraver les choses, la cybersécurité n’est pas considérée comme prioritaire par de nombreux organismes de santé en raison de priorités concurrentes et de ressources limitées. L’enquête 2020 HIMMS sur la cybersécurité révèle que « les professionnels de la cybersécurité n’ont pas nécessairement accès aux solutions de sécurité et aux autres outils dont ils ont besoin pour sécuriser pleinement l’environnement » en raison de budgets informatiques serrés et stagnants. De plus, les chercheurs ont découvert qu’une organisation de santé moyenne consacre environ 5 % de son budget informatique à la cybersécurité, tandis que le reste est consacré à l’adoption de nouvelles technologies. De manière alarmante, cela signifie que les organisations étendent leur surface d’attaque malgré le manque d’outils pour défendre adéquatement leur patrimoine numérique.
Par conséquent, le secteur de la santé a pris du retard sur de nombreux autres secteurs dans sa capacité à détecter, prévenir et atténuer les cyberattaques. Par exemple, les organisations de soins de santé mettent en moyenne 236 jours pour détecter une violation de données et 93 jours pour atténuer les dommages, contre une moyenne de 207 jours pour l’industrie pour identifier et 73 jours pour contenir une attaque. En raison de leur incapacité à investir de manière proactive dans la cybersécurité, les organisations de santé touchées par des cyberattaques ont payé des coûts élevés pour atténuer la menace. Le rapport 2021 d’IBM sur le coût d’une violation de données a révélé que le secteur de la santé avait le coût le plus élevé d’une violation de données pour la onzième année consécutive, avec un coût moyen de 9,23 millions de dollars en 2021. Des études ont démontré que les investissements proactifs dans la cybersécurité entraînent de longs à long terme, mais les dépenses de cybersécurité peuvent être difficiles à justifier pour les administrateurs de soins de santé face à d’autres priorités impérieuses, comme l’augmentation du personnel pour répondre aux exigences d’une pandémie unique.
La voie à suivre
Avec une surface d’attaque sans cesse croissante, des incitations financières convaincantes pour les attaquants et des opérations de cybersécurité sous-budgétées et de qualité inférieure, le système de santé américain est en effet dans un état critique. Les partenariats public-privé et les investissements accrus dans la cybersécurité des soins de santé seront essentiels pour renforcer le secteur de la santé et protéger les infrastructures critiques du pays.
Tout comme le lavage des mains est un élément fondamental de la médecine moderne, la cyber-hygiène doit être considérée comme un élément fondamental et essentiel d’un système médical fonctionnel. À l’heure actuelle, les systèmes de santé sont très vulnérables aux cyberattaques et les acteurs opportunistes profitent de plus en plus de la faiblesse de la sécurité du secteur pour exfiltrer les données des patients et perturber les principaux systèmes médicaux. Avec la confidentialité, l’intégrité et la disponibilité des données des patients, des dispositifs médicaux et des systèmes de santé entiers en jeu, les organisations de santé doivent subir un changement de paradigme, en accordant une plus grande valeur à la cybersécurité et en investissant de manière proactive dans les protections de sécurité.
« Tout comme le lavage des mains est un élément fondamental de la médecine moderne, la cyber-hygiène doit être considérée comme une composante fondamentale et essentielle d’un système médical fonctionnel »
Les décideurs peuvent encourager la proactivité en fournissant des fonds de contrepartie aux organisations qui cherchent à s’engager dans une planification basée sur les risques et à mettre leurs pratiques à niveau avec les réglementations étatiques et fédérales. De plus, les décideurs politiques peuvent simplifier et renforcer l’environnement réglementaire de la sécurité des soins de santé afin de développer un ensemble de normes plus unifié et plus complet que les organisations de soins de santé peuvent facilement naviguer. Les agences fédérales doivent également continuer à collaborer avec les partenaires du secteur de la santé pour élaborer des plans d’urgence solides afin d’éviter une catastrophe en cas de cyberincident grave.
En fin de compte, cependant, le sort de la sécurité des soins de santé dépend de la volonté des organisations de faire des investissements importants dans la cybersécurité. Si le secteur de la santé veut faire évoluer la cybersécurité, les leaders de l’industrie doivent commencer à traiter les actifs numériques comme ils le feraient pour les patients. Tout comme un professionnel de la santé responsable cherche à identifier et à traiter les maladies chroniques sous-jacentes des patients avant qu’elles ne provoquent une urgence médicale grave, les organisations de santé responsables doivent également remédier aux vulnérabilités de leur infrastructure numérique pour empêcher les cyberattaques. Après tout, même les ordinateurs ne sont pas à l’abri des virus.
IBM est un donateur général et illimité de la Brookings Institution. Les résultats, interprétations et conclusions publiés dans cet article sont uniquement ceux des auteurs et ne sont influencés par aucun don.
