Ce n'est un secret pour personne que le secteur de la santé est une cible idéale pour les cybercriminels. Les transformations numériques sont en cours, la valeur des données est immense et, bien que les violations dans le secteur de la santé soient généralement plus importantes que dans d'autres secteurs, le financement de la sécurité numérique est un chiffre faible par rapport aux dommages potentiels qu'une violation pourrait causer.
Mais les brèches se produisent en permanence et les héros de l'informatique qui travaillent dans les tranchées passent leur vie professionnelle sur le fil du rasoir. Ils savent ce qui est en jeu. Ils le vivent tous les jours.
Amener le reste de l'organisation à avoir le même niveau d'inquiétude peut s'avérer difficile. Pour que les HDO puissent progresser dans la lutte contre les cybermenaces, la cybersécurité des soins de santé doit devenir une priorité pour tous les membres de l'organisation. Pour ce faire, les risques doivent être reconnus comme étant non seulement un problème informatique, mais aussi un problème organisationnel. Et le langage utilisé pour communiquer sur ces risques doit être traduit du langage informatique en termes commerciaux.
Quels sont donc les éléments qui trouvent le plus d'écho auprès des personnes influentes et des cadres supérieurs des organismes de santé ?
Les chiffres.
Stat n°1 : les violations de données dans le secteur de la santé ont fait un bond de 70 % entre 2010 et 2017
Non seulement le nombre de violations a considérablement augmenté, mais ces violations ont entraîné la perte, le vol, l'exposition ou la divulgation de plus de 176 millions de dossiers médicaux électroniques (DME).
Yowza. Si cela n'attire pas l'attention de votre conseil d'administration ou de votre direction, c'est qu'ils n'y prêtent pas attention.
Mais vos concurrents pourraient l'être. Investir dans un plan de sécurité des informations de santé complet qui couvre chaque personne, application et appareil de votre organisation pourrait être un facteur de différenciation pour les financements futurs, les admissions de patients et même la couverture médiatique.
Les budgets du secteur de la santé sont souvent cloisonnés en départements. Envisagez de les centraliser ou de prévoir dans chaque budget un poste pour la sécurité numérique. Quoi de mieux pour susciter l'engagement que de demander à chacun de contribuer ?
Investir dans la bonne technologie pour la sécurité numérique avec un modèle à prix fixe ou tout compris. Par exemple, une étude récente du Ponemon Institute et de Keyfactor a révélé que les modèles de tarification empêchent souvent les organisations de sécuriser toutes les identités numériques de leur entreprise. Vous serez rassuré de savoir que tout est couvert par le budget que vous avez prévu.
Stat #2 : Les cyberattaques dans le secteur de la santé coûtent en moyenne 1,4 million de dollars en efforts de récupération.
Le coût des cyberattaques est passé à 1,4 million de dollars. La "récupération" figure-t-elle dans votre budget ?
La direction générale et même le conseil d'administration peuvent ne pas être intéressés par une augmentation du budget pour quelque chose qui ne s'est pas encore produit. Il convient donc de constituer une équipe interne de champions capables d'élaborer un argumentaire en faveur de l'investissement préventif.
Ces défenseurs peuvent être une équipe de médecins, du personnel chirurgical, des administrateurs - et bien sûr, votre personnel informatique sur le terrain - sont des PME idéales pour raconter l'histoire d'une violation : pertes de productivité, temps d'arrêt, consommateurs/patients contrariés, et impacts à long terme sur l'infrastructure.
Stat #3 : 58% des tentatives d'intrusion impliquent des acteurs internes
Cela représente un potentiel de risque considérable à l'intérieur des murs de votre organisation. Si les vols d'ordinateurs portables ou le détournement d'informations d'identification pour obtenir des données importantes sont généralement motivés par des opportunités financières, la menace peut parfois venir d'un employé qui commet simplement une erreur.
En suivant les lignes directrices et les attentes du secteur, vous devriez réduire les risques à l'intérieur et à l'extérieur de votre organisation. Des cadences et des audits réguliers des fichiers journaux, des certificats numériques en attente d'expiration, des changements de personnel et des mises à jour réglementaires permettent de détecter les problèmes qui pourraient provenir de sources internes.
Faire comprendre à l'ensemble de votre organisation l'ampleur des menaces, les raisons de la prévention et les options de remédiation peut vous aider à constituer une équipe dévouée de passionnés de cybersécurité en dehors du service informatique.
Pour plus de statistiques, téléchargez notre dernière infographie : La sécurité numérique dans le secteur de la santé :Les dix principales raisons pour lesquelles vous avez besoin d'un bilan de santé.
