U.S. Senator Mark R. Warner, représentant de la Virginie, a récemment adressé une lettre à Xavier Becerra, secrétaire à la Santé et aux Services sociaux des États-Unis, ainsi qu’à Anne Neuberger, conseillère adjointe à la sécurité nationale, les exhortant à établir rapidement des normes minimales obligatoires en matière de cybersécurité pour le secteur de la santé.
IMPORTANCE DE LA QUESTION
Warner, cofondateur du Caucus de cybersécurité du Sénat, a exprimé ses inquiétudes non seulement concernant les risques économiques liés à l’un des plus grands secteurs de l’économie américaine, dont les dépenses de santé devraient atteindre près de 20 % d’ici 2032, mais aussi les dangers pour les prestataires de soins et les patients.
Il a souligné que des pratiques de cybersécurité insuffisantes mettent en danger la vie des individus. Les acteurs malveillants motivés par l’argent sont bien conscients de la valeur élevée des informations de santé protégées (PHI) – les dossiers médicaux valent plus que les informations de carte de crédit sur le marché noir. De plus, il est trop facile de perturber les opérations des prestataires de soins, laissant les patients sans accès aux soins et leurs données personnelles potentiellement vendues au plus offrant sur le dark web.
Dans sa lettre, Warner a critiqué les lacunes de sécurité connues au sein d’organisations telles que Change Healthcare. Cette entreprise de traitement des paiements de santé à but lucratif a été gravement affectée par une attaque par ransomware en février, entraînant des perturbations majeures dans les opérations des prestataires et les soins aux patients. Cette panne a également menacé la survie de petites pratiques et a empêché les pharmaciens de vérifier la couverture médicamenteuse des patients.
Warner a déclaré que l’absence de mise en œuvre de pratiques de cybersécurité de base, comme l’authentification à plusieurs facteurs, a permis à des acteurs malveillants de mener des attaques avec un niveau de compétence relativement bas. Il a également mentionné la cyberattaque récente contre Ascension, l’un des plus grands systèmes de santé à but non lucratif aux États-Unis, qui a causé des retards significatifs dans les soins.
Soulignant que les décideurs politiques, les professionnels de la cybersécurité et les patients considèrent que la cybersécurité volontaire dans le secteur de la santé est « insuffisante et dangereuse », Warner a appelé Becerra et Neuberger à s’assurer que le secteur de la santé soit pleinement engagé dans le développement, la mise en œuvre et le maintien d’un régime de cybersécurité cohérent et efficace à travers des exigences obligatoires.
TENDANCE GLOBALE
La gravité et le coût des menaces cybernétiques n’ont cessé d’augmenter depuis que le secteur de la santé a connu les trois plus grandes violations de données en 2015. En 2022, Warner a plaidé pour la nomination d’un responsable fédéral de la cybersécurité dans le secteur de la santé et a proposé plusieurs options réglementaires dans un document de politique intitulé « La cybersécurité est la sécurité des patients » pour inciter à l’action gouvernementale.
Bien que le département de la Santé et des Services sociaux des États-Unis ait proposé de nouvelles exigences en matière de cybersécurité pour les hôpitaux et ait défini des objectifs de performance en matière de cybersécurité spécifiques au secteur de la santé en décembre, l’American Hospital Association a exprimé son opposition à la proposition de pénaliser les organisations ayant subi des violations, affirmant que ces sanctions réduiraient le financement de leurs défenses cybernétiques et mettraient en péril la survie des établissements de santé en difficulté financière.
L’AHA a déclaré en avril lors d’une audience budgétaire du HHS que « la proposition de cybersécurité présentée dans le budget FY 2025 du Président, qui pénaliserait les hôpitaux, est malavisée et n’améliorera pas la posture globale de cybersécurité du secteur de la santé. »
Nous avons contacté l’AHA pour obtenir un commentaire et mettrons à jour cet article si une réponse est fournie.
EN BREF
Warner a conclu sa lettre en affirmant que « les enjeux sont trop élevés, et la nature volontaire du statu quo ne fonctionne pas, en particulier pour les acteurs de la santé qui sont systématiquement importants au niveau national ou régional. »
Le Forum de cybersécurité dans le secteur de la santé de HIMSS est prévu pour les 31 octobre et 1er novembre à Washington, D.C. Pour en savoir plus et s’inscrire, visitez le site de HIMSS.
