Les hôpitaux ruraux sont plus vulnérables aux cyberattaques – voici comment ils peuvent se protéger

Les cyberincidents dans les établissements de santé sont devenus monnaie courante ces dernières années, les attaques de ransomware et le piratage entraînant parfois des arrêts de réseau pendant des semaines.

Et bien que les hôpitaux et les systèmes de santé soient vulnérables quel que soit leur emplacement, les experts affirment que les installations rurales – qui ont souvent moins de ressources à consacrer à la cybersécurité – peuvent être particulièrement menacées.

« C’est un dilemme intéressant, car ils sont vulnérables du point de vue de la cybersécurité, mais ils sont également plus vulnérables en termes de longévité en tant qu’entreprise », a déclaré Baha Zeidan, PDG d’Azalea Health, qui fournit des services informatiques de santé à plus de 800 hôpitaux et cliniques, principalement dans les régions rurales des États-Unis.

“Ils subissent beaucoup de pression”, a déclaré Zeidan.

Compte tenu des défis auxquels les hôpitaux ruraux sont fréquemment confrontés en matière de financement et de volume de patients, entre autres problèmes, Zeidan a déclaré : « Comment les amener à se concentrer sur la cybersécurité et à faire en sorte que la cybersécurité atteigne le sommet ? »

Zeidan a proposé la livraison sécurisée d’applications dans le cloud comme une solution potentielle. Cette stratégie, a-t-il dit, permettrait aux établissements de santé de s’appuyer sur des experts extérieurs pour les aider à gérer leur réseau.

“Pour un petit hôpital… ils ne peuvent pas consacrer un pourcentage énorme de leurs revenus à la sécurité”, a-t-il expliqué. « Un fournisseur de cloud peut investir dans la surveillance, la mise à niveau et s’assurer qu’il dispose de tous les outils sécurisés appropriés pour protéger cet environnement. »

Mais les projets de migration vers le cloud peuvent avoir leurs propres inconvénients.

Greg Pollock, vice-président de la recherche sur les produits cyber chez UpGuard, note que les petites installations avec moins de personnes sur une équipe informatique dédiée sur site sont certainement à risque d’attaques par ransomware.

Dans le même temps, a-t-il déclaré, il est peu probable qu’ils aient le genre de “pannes organisationnelles” qui conduisent à un autre type de vulnérabilité des données : les fuites.

“Les fuites de données sont en grande partie fonction du nombre de personnes que vous avez”, a déclaré Pollock.

Par exemple, UpGuard a récemment publié un rapport montrant des fuites de dizaines d’entités à la suite d’un paramètre d’autorisations par défaut de Microsoft Power Apps.

Parce que les petits hôpitaux sont moins susceptibles de se lancer dans d’énormes projets de migration vers le cloud, ils peuvent être moins sujets à ce problème particulier, a déclaré Pollock. “La plupart des problèmes d’exposition des données proviennent du stockage de données dans le cloud ou de la publication de contenus sur GitHub”, a-t-il déclaré.

“Mon modèle de risque pour un hôpital rural est le suivant : vous allez être touché par une attaque de ransomware parce que vous utilisez d’anciens produits Windows”, a-t-il ajouté. “Les deux personnes qui y dirigent l’informatique peuvent avoir des oublis en raison de leur taille humaine et de leur petite équipe … mais ces personnes sont beaucoup moins susceptibles de divulguer des informations sur GitHub ou la technologie cloud.”

Parlant de cette préoccupation, Zeidan a souligné la responsabilité de former le personnel à la fois pour prévenir les fuites de données et être prêt à répondre aux attaques.

“Tout comme vous avez une formation HIPAA et une formation sur la confidentialité, vous devez avoir suffisamment de formation sur la cybersécurité”, a-t-il déclaré. Il serait également utile que le gouvernement fasse davantage pour aider, a-t-il ajouté.

Le président Joe Biden a demandé des milliards de dollars pour renforcer les efforts de cybersécurité, mais on ne sait pas combien de cela – le cas échéant – se répercuterait sur les petits hôpitaux cherchant à renforcer leurs défenses.

“Si je ne me sens pas en sécurité et que je suis attaqué, j’appelle le 911”, a déclaré Zeidan. « Pourquoi ne pouvons-nous pas faire cela pour le cyber ? Pourquoi le gouvernement n’intervient-il pas à ce niveau ? »

“Notre vie numérique et notre vie réelle [are] se croisent de plus en plus », a-t-il ajouté. « J’ai l’impression que le gouvernement est un peu en retard de ce côté… J’espère que le gouvernement prendra cela au sérieux et interviendra pour aider les petits et moyens fournisseurs.

En attendant, disent les experts, il existe un certain nombre de façons dont les hôpitaux ruraux peuvent se protéger.

« Les hôpitaux doivent utiliser la technologie de sécurité informatique [that] ne compte pas sur des membres non techniques du personnel pour prendre des décisions en matière de sécurité », a déclaré Nigel Thorpe, directeur technique de SecureAge.

« Les cybercriminels auront toujours une longueur d’avance sur les technologies qui tentent d’identifier, puis de bloquer les logiciels malveillants. Les systèmes de sécurité informatique doivent donc adopter une approche plus pragmatique qui permet aux gens de faire les mauvais choix, puis de bloquer tout ce qui est nouveau et inconnu.

« D’autres mesures incluent le mantra traditionnel consistant à conserver des sauvegardes fiables, testées et hors ligne ; s’assurer qu’un plan de reprise après sinistre a été élaboré et testé ; et utiliser l’authentification multifacteur », a-t-il poursuivi.

Et si un système de santé est attaqué, a déclaré Thorpe, il est essentiel de remettre les systèmes en ligne, en particulier dans les régions où l’installation pourrait être la seule disponible à des kilomètres.

L’année dernière, une femme en Allemagne est décédée dans ce que beaucoup pensent être le premier décès lié à une attaque de ransomware, après que son ambulance ait dû être détournée vers un autre hôpital situé à 32 km.

« Il est probable que le moyen le plus rapide de se remettre d’une attaque soit de reconstruire tous les systèmes affectés. C’est là qu’un mécanisme de sauvegarde fiable est très important, tout comme le plan de reprise après sinistre, afin que le personnel informatique n’ait pas à penser à travers ce qu’ils doivent faire – cela devrait être juste une opération mécanique », a déclaré Thorpe.

Dans les cas où une équipe informatique est distante, a-t-il déclaré, « S’il existe des procédures initiales que le personnel non technique sur site peut effectuer sous les instructions d’administrateurs informatiques distants, cette approche peut alors économiser de précieuses heures de récupération. »

Il est essentiel, a déclaré Zeidan, que les systèmes de santé examinent les cybermenaces avec le même objectif que tout autre risque pour le système.

“C’est aussi grave que de ne pas avoir assez de lits pour les patients COVID-19”, a-t-il déclaré.

« Nous pensons que la cybersécurité est un problème de santé publique. Elle doit être envisagée dans un esprit de santé publique », a-t-il déclaré.

« Si nous fermons un hôpital, nous refusons des soins à une population. »

Kat Jercich est rédactrice en chef de Healthcare IT News.
Twitter: @kjercich
Courriel : [email protected]
Healthcare IT News est une publication de HIMSS Media.