La cybersécurité est devenue une préoccupation majeure pour les hôpitaux du monde entier, mais les défis qu’ils rencontrent varient en fonction de leurs tailles, de leurs ressources et de leurs priorités. Dans cet article, nous explorons comment Ataya Partners, avec son expertise en cybersécurité, se positionne comme un allié essentiel pour les établissements de santé.
Découvrez comment Anthony van der Maren, expert en la matière, accompagne les hôpitaux dans leur quête de certification ISO 27001, tout en soulignant l’importance cruciale de la sensibilisation, de la formation, et des simulations pour préparer ces institutions à l’inévitable : les attaques informatiques. La protection des vies et des données médicales est au cœur de ces enjeux complexes, où la vigilance et la préparation sont devenues la norme pour faire face aux menaces numériques croissantes.
L’ÉPÉE ET LE BOUCLIER DE LA CERTIFICATION ISO 27001
Au sein d’Ataya Partners, Anthony van der Maren, Managing Partner, met son expertise au service des centres hospitaliers et les accompagne dans leur cybersécurité, jusqu’à l’obtention de la certification ISO 27001. L’obtention de la certification ISO 27001 est un jalon important pour les hôpitaux dans leur quête de cybersécurité. Cette certification repose sur un ensemble de bonnes pratiques qui permettent de gérer un système de sécurité de l’information de manière efficace. Anthony van der Maren nous révèle que ce n’est pas tant une quête de perfection que d’amélioration constante, de mesures et de changements pour s’adapter aux risques émergents. Pour insuffler ces changements, la norme ISO 27001 propose une liste de 93 contrôles de sécurité à passer en revue. Lorsque ces contrôles ont été traités, soit parce que le risque mentionné est sous contrôle ou parce qu’il ne s’applique pas à l’établissement en question, un organisme de contrôle pourra auditer et délivrer, ou non, cette certification.
Notons que la directive européenne NIS 2, qui vise à harmoniser et à renforcer la cybersécurité du marché européen et votée en décembre 2022, a ajouté la santé dans la catégorie des secteurs hautement critiques. Ce secteur de la santé ne concerne pas seulement les hôpitaux, mais aussi des laboratoires de référence, les fabricants de dispositifs médicaux ou de préparations pharmaceutiques et autres. Et à ce titre, la certification ISO 27001 est une base essentielle pour la mise en conformité à la directive NIS 2. Bien que la certification ISO 27001 soit une base solide pour la gestion de la cybersécurité, Anthony van der Maren nuance : « Une certification de sécurité n’empêche pas d’avoir un acte de piratage. Mais c’est une meilleure garantie sur le fait que l’établissement pourra probablement mieux résister et mieux redémarrer son activité. »
Aux hôpitaux je ne dis jamais “si vous êtes attaqués”, je dis toujours “quand vous serez attaqués
LES DÉFIS DE LA CYBERSÉCURITÉ HOSPITALIÈRE : UNE QUESTION DE TAILLE, DE PRIORITÉ ET DE BUDGET
L’approche des hôpitaux en matière de cybersécurité est un délicat équilibre entre leurs tailles, leurs ressources financières et leur sens des priorités. Les petites structures hospitalières, souvent démunies et disposant de moyens financiers limités, sont confrontées à des défis particulièrement ardus pour renforcer leur cybersécurité. Les contraintes budgétaires sont une réalité incontournable, rendant difficile l’allocation de ressources spécifiques à la protection des systèmes informatiques.
Même pour les hôpitaux de plus grande envergure, la question de la cybersécurité demeure un enjeu de priorité. Cependant, il est courant de constater que l’intérêt pour la cybersécurité ne se manifeste qu’en réaction à des incidents survenus dans des hôpitaux voisins. Les attaques numériques subies par d’autres établissements de santé agissent comme un catalyseur, poussant les hôpitaux à reconsidérer leur propre préparation à de telles menaces.
Un autre défi réside dans l’absence de budgets spécifiques dédiés à la cybersécurité dans de nombreux hôpitaux. Les budgets informatiques sont souvent « saupoudrés », regroupant toutes les demandes informatiques au sein d’une même enveloppe. Cette approche peut rendre difficile l’attribution de fonds suffisants pour mettre en place des mesures de cybersécurité robustes et adaptées aux besoins spécifiques de chaque établissement.
En somme, la cybersécurité dans le milieu hospitalier est un domaine en constante évolution, où les hôpitaux, petits ou grands, doivent jongler avec des ressources limitées tout en se montrant de plus en plus réactifs face aux menaces croissantes.
AU-DELÀ DE L’ANALYSE DES RISQUES, L’HUMAIN AU CŒUR DES ENJEUX
Les hôpitaux, confrontés à la complexité croissante des enjeux de cybersécurité, expriment fréquemment le besoin de réaliser des analyses de risques exhaustives. Cependant, Anthony van der Maren souligne l’importance de ne pas s’arrêter à cette étape initiale. La simple identification des risques ne suffit pas à garantir une cybersécurité efficace. Souvent, les établissements de santé se retrouvent face à une longue liste de menaces potentielles, ce qui peut rapidement sembler écrasant.
Ce qui est crucial à comprendre, c’est que tous les aspects de la cybersécurité ne relèvent pas uniquement du département informatique. La sensibilisation et la formation des employés, ainsi que la prise en compte du facteur humain, sont des éléments clés pour prévenir les erreurs humaines, qui peuvent se produire à tout moment. Le facteur humain est souvent un maillon faible dans la chaîne de la sécurité informatique, et c’est pourquoi la sensibilisation à la cybersécurité au sein de l’ensemble du personnel hospitalier revêt une importance cruciale.
Si l’analyse de risques est une étape essentielle, la cybersécurité dans les hôpitaux ne peut pas se limiter à cette seule phase. La sensibilisation, la formation et la vigilance constante vis-à-vis du facteur humain sont tout aussi indispensables pour garantir la protection des systèmes d’information et la confidentialité des données médicales.
Du point de vue médical, il faut protéger la vie ET la vie privée du patient
CYBERATTAQUE DANS LES HÔPITAUX : L’IMPORTANCE DES SIMULATIONS ET DE L’ANTICIPATION
Au sein du secteur hospitalier, la préparation aux attaques informatiques ne saurait être complète sans l’intégration de simulations et d’exercices pratiques. Ces simulations sont cruciales pour anticiper les scénarios potentiels, évaluer les capacités de réaction en cas d’incident et former le personnel à faire face aux situations de crise. Les exercices de continuité permettent aux établissements de santé de se préparer à l’inattendu, de mettre en place des plans d’action concrets et de garantir une réponse rapide et coordonnée en cas d’attaque informatique. Il ne s’agit pas seulement de prévoir les actions techniques, mais aussi de planifier la communication interne et externe, de gérer les ressources humaines, et de maintenir la confiance des patients et des partenaires.
En fin de compte, ces simulations visent à assurer que les hôpitaux disposent de procédures bien définies et de personnel formé, prêt à réagir de manière efficace en cas d’attaque informatique. Savoir à quoi s’attendre et comment réagir peut faire toute la différence dans la préservation de la sécurité des patients et la continuité des opérations hospitalières, même en période de crise.