De nouvelles règles en matière de cybersécurité concernant la protection des données des utilisateurs par les institutions de santé seront proposées dans le cadre de la loi sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA), selon un responsable de la Maison Blanche.
“La règle de sécurité [dans le cadre de la HIPAA] a été publiée pour la première fois en 2003 et a été révisée pour la dernière fois en 2013. Il s’agit donc de la première actualisation de cette réglementation vieille de 20 ans depuis plus d’une décennie. Cela obligera les entités qui détiennent des données de santé à prendre des mesures comme le chiffrement de ces données, afin qu’en cas d’attaque, celles-ci ne puissent pas être divulguées en ligne et mettre en danger des individus”, a déclaré Anne Neuberger, conseillère adjointe à la sécurité nationale pour le cyberespace et les technologies émergentes, lors d’une conférence de presse vendredi.
Le ministère de la Santé et des Services sociaux (HHS) publiera un projet de règles mises à jour dans le registre fédéral pour solliciter des commentaires du public, a précisé Neuberger.
Les entités de santé devront également surveiller leurs réseaux à la recherche de menaces et réaliser des vérifications de conformité afin de s’assurer qu’elles respectent les nouvelles règles de la HIPAA, selon Neuberger, qui a ajouté que la Maison Blanche estime que le coût de mise en œuvre de la règle proposée pour l’industrie de la santé s’élèverait à environ 9 milliards de dollars la première année, puis à 6 milliards de dollars par an pour les années deux à cinq.
“Le coût d’une inaction est non seulement élevé, mais il met également en danger l’infrastructure critique et la sécurité des patients, en plus d’entraîner d’autres conséquences nuisibles”, a-t-elle expliqué.
La HIPAA a été signée pour la première fois en 1996 et régit le partage des données de santé entre les hôpitaux, les assureurs et les patients. Neuberger a indiqué que les nouvelles règles apporteraient “clarté et précision” en matière de cybersécurité à la HIPAA.
La Maison Blanche a décidé de s’engager dans cette démarche ces derniers mois en raison d’une augmentation de cinq ans des violations de données de santé, culminant en 2024 avec deux des incidents sanitaires les plus significatifs de l’histoire américaine, à savoir les attaques par ransomware sur Change Healthcare et le réseau hospitalier Ascension.
Neuberger a soutenu que, bien que le coût moyen d’une violation dans le secteur de la santé en 2023 ait atteint 10,1 millions de dollars, des organisations comme Ascension et Change Healthcare devraient faire face à des pertes potentiellement désastreuses. La société mère de Change Healthcare, UnitedHealth Group, a estimé que l’incident survenu en février avait coûté à l’entreprise plus de 850 millions de dollars.
“Depuis 2019, les grandes violations causées par le piratage et les ransomwares ont augmenté de 89 % et 102 %. Je dois dire que, dans ce poste, l’une des choses les plus inquiétantes et vraiment troublantes dont nous devons faire face est le piratage des hôpitaux et des données de santé”, a-t-elle déclaré.
“Nous voyons des hôpitaux contraints d’opérer manuellement. Nous constatons que des données de santé sensibles américaines, des données sensibles en matière de santé mentale et des procédures sensibles se retrouvent sur le dark web, offrant ainsi des opportunités de chantage envers des individus.”
Il y a un an, le HHS a ajouté des règles de cybersécurité pour les établissements de santé traitant des programmes Medicare et Medicaid, reliant apparemment les paiements fédéraux à des normes de base. À l’époque, le HHS avait évoqué la possibilité d’ajouter des mesures de cybersécurité à la HIPAA, avec un concept centré sur l’augmentation des pénalités pécuniaires en cas de violations de la HIPAA, telles que des violations de données.
Les initiatives de la Maison Blanche ont été soutenues par des membres du Congrès qui expriment leur impatience face à la fermeture continue des hôpitaux en raison des ransomwares et aux implications nationales de la violation de données de Change Healthcare — que la société a déclaré avoir exposé les informations de plus de 100 millions de personnes.
Le HHS a publié un guide de 122 pages en février, expliquant aux entités couvertes par la HIPAA qu’elles doivent commencer à entreprendre des évaluations des risques en matière de cybersécurité et des efforts de gestion des risques.
Bon à savoir
- La révision des règles de cybersécurité pourrait affecter les pratiques de protection des données dans tout le secteur de la santé.
- Les violations de données dans le secteur de la santé ont été en forte augmentation depuis 2019.
- La Maison Blanche considère que le coût d’implementation des nouvelles règles pourrait dépasser 9 milliards de dollars la première année.
- La HIPAA régit le partage des données de santé depuis 1996, mais ses règles de sécurité n’avaient pas été mises à jour depuis 2013.
La mise à jour des réglementations de cybersécurité dans le secteur de la santé soulève des questions importantes sur la protection des données sensibles des patients. Comment ces changements vont-ils impacter la gestion des données au sein des établissements de santé ? Les enjeux sont en effet cruciaux, tant pour les professionnels de santé que pour les patients.
Wow, la cybersécurité dans la santé, c’est vraiment un sujet brûlant ! Qui aurait pensé qu’un hôpital pourrait être une cible pour les hackers ? C’est un peu comme un film d’horreur, non ?