Rapport 2024 sur la cyber-résilience

Ceci est une partie de l’article 8 sur 16 Dans ce rapport.

October 19, 2023 / 6 minutes de lecture

Le cyber-profil du secteur de la santé s’est amélioré, mais le travail de résilience reste à faire

Les clients ont fait état d’une amélioration de leur profil de cyber-risque, la majorité d’entre eux passant d’un profil « de base » à un profil « géré ».

Points essentiels

  1. Les clients ont fait état d’une amélioration de leur profil de risque cybernétique, la majorité d’entre eux passant d’un profil « de base » à un profil « géré ».
  2. La directive sur la sécurité des réseaux et de l’information (NIS2) qui se profile à l’horizon devrait favoriser la poursuite de l’amélioration des risques.
  3. Les organisations devraient procéder à des évaluations régulières des défenses techniques, de la maturité des contrôles, de l’impact financier et de l’assurabilité.

* The Network and Information Security (NIS2) Directive

Du point de vue de la cyber-sécurité, le secteur de la santé est confronté à un niveau de risque qu’aucun autre secteur ne connaît. Les décisions doivent être prises en fonction de la sécurité et du bien-être des patients et, alors que les systèmes hospitaliers sont entraînés et préparés à gérer les risques d’entreprise tels que les catastrophes naturelles, la résilience peut être moins forte lorsqu’il s’agit de cyber-risques. Encore sous le choc de la pandémie, le secteur de la santé est confronté à des conditions exigeantes. Après deux ans de lutte contre le COVID-19, l’état d’urgence sanitaire pour le secteur s’est terminé en mai 2023, et les hôpitaux et cliniques continuent de faire face à une pénurie de personnel infirmier et à des demandes de rémunération des employés1. Ce besoin de personnel supplémentaire pour les soins aux patients s’accompagne d’une pénurie de talents dans le domaine des technologies de l’information (TI)2. D’après notre expérience, les organismes de soins de santé externalisent souvent l’informatique à des entreprises plus petites qui peuvent avoir un niveau de sécurité ou de contrôle informatique différent de celui des fournisseurs plus importants et mieux établis, voire de l’organisme de soins de santé lui-même. Ils peuvent également embaucher des travailleurs occasionnels ou contractuels dans d’autres régions, ce qui entraîne un manque de visibilité sur la sécurité des données qui entrent et sortent du réseau de l’organisation.

Cette pénurie de talents informatiques coexiste dans une tempête parfaite avec une empreinte technologique et une surface d’attaque en expansion. Les organismes de santé doivent aujourd’hui adopter un nouveau niveau d’innovation numérique pour rester à la pointe de nombreuses solutions, qu’il s’agisse d’intégrer la technologie du cloud hybride ou de déployer des applications de télésanté à intelligence artificielle (IA) et des dispositifs portables. Et plus une organisation crée de connectivité Internet par le biais de nouveaux outils et de nouvelles applications, plus la surface de cyber-attaques s’élargit. Ces systèmes complexes et en réseau offrent de multiples points d’entrée, et les risques liés aux tiers et aux quatrièmes parties sont plus importants.

L’exfiltration d’informations sensibles et le vol de la propriété intellectuelle constituent une préoccupation majeure dans les secteurs des sciences de la vie et de la santé, que ces menaces proviennent d’initiés malveillants, de pirates informatiques affiliés à des groupes gouvernementaux ou activistes, ou de ransomware3. Après avoir connu une recrudescence des fusions et acquisitions ces dernières années, le secteur est confronté à des risques de sécurité liés à la migration des données lors de la consolidation des systèmes, entre autres. Mais le danger n’est pas seulement financier. Les violations de cyber-sécurité dans les entreprises de dispositifs médicaux et de technologie médicale peuvent mettre en danger la vie des personnes qui ont besoin d’un approvisionnement immédiat ou constant en équipement, comme les stimulateurs cardiaques et les pompes à insuline.

Le passage à l’Internet de tout représente un énorme changement culturel et technologique. Chaque organisme de santé doit se concentrer sur le développement de structures autour de la cyber-maturité tout en opérant dans un environnement de plus en plus réglementé et litigieux. Les patients, les assureurs et les régulateurs font pression sur le secteur afin qu’il respecte les normes de cyber-résilience, et les sanctions imposées en cas de non-respect de ces normes peuvent être importantes4. Des lois telles que la Health Insurance Portability and Accountability Act (HIPAA) et la Health Information Technology for Economics and Clinical Health Act (HITECH) ajoutent un élément de responsabilité créé par les associés commerciaux, les vendeurs et les autres prestataires de services. Cette chaîne complexe de responsabilités exige que les organismes de santé envisagent les cyber-risques de manière holistique et qu’ils soient très attentifs aux stratégies de transfert et d’atténuation des risques. En fait, les assureurs cyber exigent désormais des contrôles minimaux de la cyber-sécurité pour obtenir ou conserver une couverture cyber. Les organismes de santé ont dû se conformer aux exigences techniques de la règle de sécurité HIPAA pendant de nombreuses années, mais notre examen des données montre que la prolifération des cyber-attaques a entraîné un examen plus approfondi de la cyber-maturité.

Rapport des clients d’Aon : Secteur de la santé et maturité des risques

Le pourcentage médian du budget informatique consacré à la sécurité a également augmenté au niveau mondial, les entreprises de soins de santé déclarant consacrer 8 % de leur budget informatique à la sécurité.

Selon l’évaluation CyQu5 d’Aon, le score global de cyber-risque est passé de 2,6 à 2,8 (sur une échelle de 4) en 2022 pour les clients du marché intermédiaire, et 70 % des entreprises ont déclaré des scores supérieurs à 2,5 en 2022. Cela indique que les entreprises opèrent à un niveau de maturité cybernétique « De base », mais qu’elles se rapprochent d’un niveau « Géré ». Pour les clients du segment Entreprise et du segment Mondial, le profil de risque global s’est amélioré, passant de « de base » à « géré », et plus de 80 % des entreprises ont déclaré des scores supérieurs à 2,5. L’impact de la directive sur la sécurité des réseaux et de l’information (NIS2) qui se profile à l’horizon devrait favoriser la poursuite de l’amélioration des risques.

Scores de risque CyQu pour les segments client des soins de santé et de l’assistance sociale

Revenus annuels (groupe) 2020 2022 Changement
Mondial
2.1
2.9
+0.8
Entreprise
2.0
2.8
+0.8
Marché intermédiaire
2.6
2.8
+0.2
PME
2.3
2.5
+0.2

Score de maturité des risques du cyberquotient (CyQu)

Initial: 1.0 - 1.9

De base: 2.0 - 2.5

Géré: 2.6 - 3.4

Avancé: 3.5 - 4.0

Aux États-Unis, si les organismes de santé ont fait état d’une amélioration globale de leur maturité, ils n’ont progressé que dans quatre des neuf domaines de contrôle des technologies de l’information. Les données sur les contrôles d’alertes des applications complémentaires rançongiciel d’Aon montrent que les entreprises de soins de santé américaines ont signalé une amélioration significative de la mise en œuvre des contrôles d’authentification multifacteur (AMF) cruciaux pour la souscription (77 % contre 64 % en 2021). Nous avions anticipé cette avancée, car les ransomware sont considérés comme l’un des trois principaux risques pour les organismes de santé, et le marché de l’assurance a mis l’accent sur l’AMF. Les fournisseurs doivent tester régulièrement les vulnérabilités et mettre en place des contrôles de cyber-sécurité aussi stricts que ceux exigés par la plupart des assureurs cyber.


Pourcentage de manque de contrôles informatiques critiques pour un secteur donné aux États-Unis (alertes)


Les organismes de santé britanniques ont indiqué que la mise en œuvre des contrôles informatiques en 2022 était moins solide que celle de leurs homologues américains, toutes catégories confondues. Selon les données sur les contrôles des alertes des applications complémentaires ransomware d’Aon, les organisations manquaient de 63 % des contrôles de sécurité du réseau et des données. Le groupe de contrôle le plus sûr pour les organismes de santé britanniques est la gestion des correctifs, avec près de 80 % des contrôles jugés adéquats.


Pourcentage de manque de contrôles informatiques critiques pour un secteur donné dans l’EMEA et au Royaume-Uni (alertes)


Actions pour les organismes de santé

Comprendre vos risques

Procédez à des évaluations régulières des défenses techniques, de la maturité des contrôles, de l’impact financier et de l’assurabilité. Déterminez les vulnérabilités qui menacent d’importantes pertes humaines ou matérielles et quantifiez ces pertes potentielles afin de mieux informer les décisions budgétaires dans le cadre d’un modèle de retour sur investissement en matière de sécurité. Tirez parti de la compréhension du profil de risque et de la posture de sécurité de l’organisation pour accéder à des solutions viables de transfert de risque. Il est important d’enquêter sur les tiers et les fournisseurs afin d’atténuer les menaces qui pèsent sur la chaîne d’approvisionnement, et de procéder à des évaluations des risques internes afin de mieux gérer la menace croissante que représentent les acteurs malveillants et intentionnels de la menace interne.

Lier votre EEOC au risque cybernétique

Tirez parti de la force du centre d’opérations d’urgence de votre entreprise pour renforcer la cyber-résilience. Planifier des scénarios de cyber-risques, élaborer des plans de réponse aux incidents et intégrer les cyber-risques dans les exercices de simulation en cours.

Se préparer à la directive NIS2.

Comprenez le champ d’application de la directive sur la sécurité des réseaux et de l’information (NIS2)6, une législation européenne qui s’applique aux organismes de soins de santé, de sciences de la vie et de produits pharmaceutiques. Parmi les changements les plus importants apportés par la directive NIS2 figurent les responsabilités spécifiées en matière de gestion et les amendes administratives en cas de non-conformité. Elle appelle à une action directe dans certains domaines clés de la cyber-sécurité et décrit les nouveaux contrôles qui doivent être mis en œuvre, ainsi que de nouvelles orientations sur la manière dont les incidents importants doivent être signalés. Comprenez ce qui s’applique à votre organisation et comment s’y préparer.

Aligner la planification des RI et de la continuité des activités

Éliminez la distinction entre la continuité des activités et la préparation à la réponse aux incidents. Effectuez un diagnostic des plans existants et une analyse de l’impact sur l’entreprise. Réfléchissez à l’impact des temps d’arrêt. Décloisonnez autant que possible les activités afin d’adopter une vision holistique des risques et de veiller à ce que les objectifs, les processus et les procédures soient alignés.

Références

1 “The six challenges facing healthcare in 2023 and how to handle them.” Conseil consultatif. Briefing quotidien. 2023.

2 “Cyber Security Talent Gap: Use These Solutions to Help Rectify Ongoing Issue.” Aon. Article. Janvier 2023 Cyber Security Talent Gap: Use These Solutions to Help Rectify Ongoing Issue | Aon.

3 “A Game of Cat and Mouse: Outpacing Cyber Threats Across Industries.” Aon. Article. Mars 2023. https://www.aon.com

4 “How to avoid the devastating consequences of HIPAA non-compliance.” HFMA. Serrano, Hernan. Article. 29 mai 2019.

5 Le cyberquotient d’Aon. Technologie en instance de brevet.

6 NIST Cybersecurity Framework 2.0. Extrait de https://eur-lex.europa.eu/eli/dir/2022/2555/oj


Les produits et services d’assurance sont proposés par Aon Risk Insurance Services West, Inc, Aon Risk Services Central, Inc, Aon Risk Services Northeast, Inc, Aon Risk Services Southwest, Inc, et Aon Risk Services, Inc. de Floride, ainsi que par leurs filiales agréées.

Les informations contenues dans le présent document et les déclarations exprimées sont de nature générale, ne sont pas destinées à traiter de la situation d’une personne ou d’une entité particulière et ne sont fournies qu’à titre d’information. Ces informations ne remplacent pas les conseils d’un avocat ou d’un professionnel de la cyber-assurance et ne doivent pas être utilisées à cette fin. Bien que nous nous efforcions de fournir des informations précises et opportunes et d’utiliser des sources que nous considérons comme fiables, nous ne pouvons garantir que ces informations sont exactes à la date à laquelle vous les recevez ou qu’elles continueront de l’être à l’avenir.