Depuis 1996, la loi sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA) a établi les bases de la confidentialité des patients. Cette législation a défini des normes sur la manière dont les organisations de santé doivent gérer et partager les données des patients, créant ainsi un cadre pour garantir la confidentialité.

Cependant, le paysage de la santé a drastiquement évolué, multipliant ainsi les risques associés. Les menaces cybernétiques émergentes et les vulnérabilités complexes ont révélé des lacunes critiques dans les protections offertes par la HIPAA. En réponse, les législateurs travaillent sur de nouvelles lois visant à renforcer la défense des organisations de santé face à la montée des cyberattaques.

L’année dernière, deux projets de loi ont été présentés — le Healthcare Cybersecurity Act of 2024 et le Health Infrastructure Security and Accountability Act of 2024 (HISAA) — dans le but de moderniser les protections des données de santé sensibles. Bien que ces initiatives représentent une avancée significative, elles stagnent actuellement dans le processus législatif et n’ont pas encore été adoptées. De plus, même si elles étaient mises en œuvre, la portée limitée et les mécanismes d’application proposés pourraient ne pas suffire à faire face aux menaces cybernétiques croissantes qui touchent notre système de santé de plus en plus numérique. Sans une approche plus globale et proactive, ces initiatives risquent d’être perçues comme des gestes symboliques dans une lutte qui nécessite une action urgente et décisive.

Les projets de loi proposés

Le Healthcare Cybersecurity Act et le HISAA abordent la cybersécurité dans le secteur de la santé sous deux angles distincts, mais complémentaires. Le premier se concentre sur la collaboration et le partage de ressources, cherchant à combler les lacunes entre les organisations de santé et les agences fédérales, notamment l’Agence de cybersécurité et de sécurité des infrastructures (CISA). En favorisant ces partenariats, l’acte vise à fournir aux prestataires de soins des outils, des ressources et des formations essentiels en matière de cybersécurité. Il insiste également sur l’élaboration de cadres standardisés pour assurer une approche cohérente dans l’identification et la gestion des menaces cybernétiques au sein du secteur.

De l’autre côté, le HISAA met l’accent sur l’infrastructure technique des organisations de santé. Ce projet de loi donne la priorité au financement pour moderniser les systèmes obsolètes, afin de garantir que les établissements de santé, en particulier les plus petits ou les moins financés, puissent adopter des technologies sécurisées par conception. Il introduit également des normes de responsabilité, rendant les organisations responsables des violations causées par des vulnérabilités évitables, incitant ainsi à des mesures proactives pour anticiper les risques.

Ensemble, ces projets de loi visent à établir une base plus solide pour la cybersécurité dans le domaine de la santé. Cependant, leur efficacité dépendra de leur adoption et de la manière dont les organisations de santé les intégreront dans des stratégies proactives plus larges.

Protéger les données de santé non traditionnelles

Bien que les projets de loi proposés visent à renforcer la cybersécurité dans les établissements de santé traditionnels, ils négligent largement un domaine vital et en pleine croissance : les données de santé non traditionnelles. La prolifération des technologies de santé à destination des consommateurs — comme les trackers d’activité, les applications de santé mobiles et les plateformes de télémédecine — a créé de nouveaux risques qui ne relèvent pas des protections de la HIPAA ni du cadre législatif proposé.

Les données de santé non traditionnelles, souvent conservées par des entreprises technologiques tierces, manquent des protections rigoureuses exigées pour les données gérées par les prestataires de santé. Contrairement aux dossiers de santé électroniques (DSE), qui font l’objet d’une surveillance réglementaire stricte, les données de santé des consommateurs sont largement non régulées, ce qui en fait des cibles privilégiées pour les cyberattaques. Les pirates exploitent ces failles, pénétrant les plateformes qui stockent des informations personnelles sensibles telles que les niveaux d’activité, les habitudes de sommeil et les indicateurs de santé mentale, souvent sans protections de base comme le cryptage.

Défendre les défis

Pour relever ces défis, les décideurs devraient étendre les régulations existantes sur la confidentialité des données de la santé pour inclure les données de santé des consommateurs. Cela garantirait que toutes les informations liées à la santé, qu’elles soient générées par un prestataire de santé ou collectées via des dispositifs à consommation, respectent des normes de sécurité et de confidentialité strictes. Par ailleurs, les organisations de santé doivent collaborer avec les entreprises technologiques pour établir des protocoles de protection des données clairs, répondant aux défis distincts posés par les données de santé non traditionnelles, telles que la nécessité d’intégration entre différentes plateformes tout en maintenant la sécurité.

Des partenariats solides entre les entreprises technologiques et les prestataires de santé sont également essentiels à la création de cadres de partage de données sécurisés. De tels cadres devraient définir comment les données sont collectées, transmises et stockées pour garantir qu’elles puissent être utilisées en toute sécurité dans des contextes cliniques sans compromettre la vie privée des patients. En mettant en place des normes claires pour le cryptage, l’authentification et le contrôle d’accès, ces structures peuvent protéger les informations sensibles tout en permettant leur utilisation pratique dans le secteur de la santé.

Encourager l’adoption de dispositifs et d’applications de santé interopérables qui respectent ces normes est une étape cruciale pour réduire les risques associés aux données de santé non traditionnelles, contribuant ainsi à construire un écosystème de santé plus sûr et plus cohérent pour les patients et les prestataires.

Renforcer le leadership

Un leadership efficace est le fondement d’une stratégie de cybersécurité dans le secteur de la santé résiliente. Les responsables de la sécurité de l’information (CISO) jouent un rôle clé dans la conception et la mise en œuvre de stratégies pour protéger les données sensibles et atténuer les risques. Leur responsabilité est particulièrement cruciale dans les établissements de santé ruraux et à faible revenu, qui font souvent face à des contraintes de ressources considérables par rapport aux grandes organisations.

Dans les milieux ruraux, les CISO doivent prioriser et allouer les ressources de manière stratégique. Par exemple, ils peuvent utiliser les fonds du HISAA pour engager du personnel qualifié en cybersécurité et moderniser les infrastructures essentielles à la sécurité. Les CISO peuvent également animer des programmes de formation pour le personnel, enseignant aux employés comment reconnaître les menaces et suivre les protocoles de protection des données.

En outre, les CISO peuvent augmenter leur efficacité en collaborant avec des centres d’analyse et de partage d’informations sur la sécurité (ISAC). Grâce à ces partenariats, les organisations de santé peuvent échanger des informations sur les menaces et apprendre les meilleures pratiques pour renforcer leurs défenses dans un environnement sûr et de confiance. Pour les petits établissements avec une expertise limitée en interne, ces collaborations offrent des informations précieuses sur les risques émergents et les mesures d’atténuation efficaces.

Mises à jour de la HIPAA à l’horizon

Le 24 décembre 2024, le département de la Santé et des Services sociaux (HHS) a annoncé un avis de proposition de réglementation (NPRM) visant à mettre à jour la HIPAA, notamment en modernisant les normes relatives aux exigences en matière de cybersécurité pour faire face aux menaces actuelles. Les exigences proposées incluent des inventaires des actifs technologiques, des évaluations de risque renforcées, des plans de contingence, des audits de conformité, le cryptage des informations de santé électroniques (PHI) au repos et en transit, l’utilisation de l’authentification multifactorielle, le scan des vulnérabilités, la segmentation des réseaux, les processus de sauvegarde et de récupération, entre autres.

La période de consultation publique se déroulera jusqu’à fin février 2025, et toute mise à jour de la HIPAA reste encore à venir. Néanmoins, ces nouvelles exigences proposées constituent une avancée dans l’amélioration de la cybersécurité chez les prestataires de santé.

Un avenir de résilience

Le Healthcare Cybersecurity Act et le HISAA offrent un solide point de départ pour traiter les vulnérabilités du secteur de la santé. Cependant, avec l’évolution des menaces cybernétiques, l’approche de l’industrie en matière de sécurité doit également évoluer.

En adoptant l’esprit de ces mesures législatives et en les complétant par des stratégies proactives — telles que la sécurisation des données non traditionnelles et l’investissement dans le leadership et la collaboration — les organisations de santé peuvent construire un système qui non seulement respecte les lois, mais aussi assure une résilience face à la prochaine génération de menaces cybernétiques.

Dans cette nouvelle année, l’avenir ne réside pas simplement dans le respect des normes de conformité ; il s’agit de créer un écosystème de santé sécurisé, innovant et prêt à protéger les patients dans tous les sens du terme.

Bon à savoir

– La collaboration entre prestataires de santé et entreprises technologiques est essentielle pour une cybersécurité robuste.
– Les données de santé non traditionnelles devraient être soumises aux mêmes normes que celles appliquées aux DSE pour réduire les risques.
– Le leadership est déterminant pour la mise en œuvre efficace des stratégies de cybersécurité.

Considérant les enjeux de cybersécurité dans le secteur de la santé, le débat autour de la protection et de la gestion des données ne devrait pas diminuer. Comment les organisations pourront-elles évoluer dans un environnement où les menaces sont de plus en plus sophistiquées tout en préservant la confiance des patients ?




Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *