Les cyberattaques visant les organisations de santé sont en forte augmentation, avec le nombre de personnes touchées ayant presque triplé entre 2022 et 2024, selon des données compilées par le Bureau des droits civils du Département de la santé et des services humains des États-Unis. De plus, ces données révèlent une hausse de 239 % et 278 % des incidents de piratage et des attaques par rançongiciels respectivement, entre janvier 2018 et septembre 2023.
Face à cette tendance inquiétante, le Département de la santé de l’État de New York a finalisé, le 2 octobre 2024, une règlementation introduisant de nouvelles exigences en matière de cybersécurité pour les hôpitaux généraux de l’État. Cette initiative marque un intérêt croissant des autorités étatiques pour la protection des données et la confidentialité.
Obligations Immediately Efficaces
Les exigences suivantes entreront en vigueur le 2 octobre 2024 :
- Les hôpitaux doivent informer le Département de la santé dès que possible, et au plus tard dans les 72 heures suivant la détermination d’un « incident de cybersécurité », qui comprend généralement un événement de cybersécurité qui : (1) a un impact matériellement défavorable sur les opérations de l’hôpital ; (2) a une probabilité raisonnable de nuire matériellement à toute partie des opérations de l’hôpital ; ou (3) entraîne le déploiement de rançongiciel dans une partie significative des systèmes d’information de l’hôpital.
- Les hôpitaux doivent conserver toute la documentation exigée par les nouvelles réglementations pendant au moins six ans, y compris les dossiers, horaires, rapports et données. Si un hôpital identifie des « domaines, systèmes ou processus nécessitant une amélioration, une mise à jour ou une refonte matérielle », il doit également documenter cette identification ainsi que les actions correctives entreprises. De plus, les hôpitaux doivent fournir toute documentation demandée par le Département de la santé.
Exigences en vigueur le 2 octobre 2025
A partir d’un an après l’adoption de la réglementation, les hôpitaux devront mettre en place un programme de cybersécurité visant à réaliser les fonctions essentielles suivantes :
- Identifier et évaluer les risques de cybersécurité internes et externes pouvant menacer la sécurité des « informations non publiques » et la continuité des opérations de l’hôpital.
- Mettre en œuvre une infrastructure de défense, des politiques et des évaluations de vulnérabilité pour protéger les systèmes d’information et les informations non publiques contre les accès non autorisés et les actes malveillants.
- Établir des mécanismes pour détecter rapidement les événements de cybersécurité.
- Développer des protocoles pour répondre et atténuer les effets négatifs des événements de cybersécurité et rétablir les opérations et services normaux de l’hôpital.
- Désigner un responsable de la cybersécurité qui sera chargé de soumettre un rapport annuel à l’organe directeur de l’hôpital sur le programme de cybersécurité.
- Réaliser des tests et des évaluations de vulnérabilité, y compris des analyses de vulnérabilité automatisées et des tests d’intrusion, des systèmes d’information de l’hôpital.
Considérations pour les Hôpitaux
Bien que la nouvelle réglementation ne mentionne pas spécifiquement les pénalités encourues, elle ne manque pas de rigueur. Le Département de la santé est en effet autorisé à imposer des sanctions civiles aux parties qui enfreignent les lois et réglementations applicables, ainsi qu’à exiger l’élaboration de plans d’action correctifs coûteux. De plus, les exigences de la nouvelle réglementation font partie des normes minimales pour les hôpitaux, qui sont des prérequis pour l’octroi et le maintien de licences et de certifications. Le non-respect de ces exigences pourrait compromettre la licence ou la certification de l’établissement.
Nous poursuivrons notre suivi des évolutions et publierons des mises à jour dès qu’elles seront disponibles. Concernant les autres exigences mentionnées ci-dessus, les hôpitaux devraient également commencer à se préparer à l’échéance de conformité prévue pour octobre prochain.
Article original rédigé par : Tina Watson.
Bon à savoir
- Les hôpitaux doivent adopter une approche proactive pour gérer les incidents de cybersécurité.
- La durée de conservation des documents exigée peut varier selon les réglementations spécifiques de chaque État.
- Bien que les règlements ne donnent pas de pénalités explicites, des disruptions dans les opérations des hôpitaux peuvent avoir des conséquences graves.
Pour conclure, la montée des cyberattaques dans le secteur de la santé souligne l’importance d’une vigilance constante. La cybersécurité ne doit pas être perçue comme un simple obstacle réglementaire, mais plutôt comme une nécessité stratégique pour assurer la sécurité des données sensibles et la continuité des soins. En réfléchissant à ces enjeux, il est crucial d’impliquer l’ensemble des acteurs du secteur dans la mise en place d’une culture de cybersécurité proactive et collective.
- Source image(s) : www.jdsupra.com
- Source : https://www.jdsupra.com/legalnews/new-york-adopts-comprehensive-hospital-7112915/
Nos rédacteurs utilisent l'IA pour les aider à proposer des articles frais de sources fiables à nos utilisateurs. Si vous trouvez une image ou un contenu inapproprié, veuillez nous contacter via le formulaire DMCA et nous le retirerons rapidement. / Our editors use AI to help them offer our readers fresh articles from reliable sources. If you find an image or content inappropriate, please contact us via the DMCA form and we'll remove it promptly.