Les organismes de santé sont confrontés aux mêmes défis que les autres secteurs en ce qui concerne les dommages causés par les cyberattaques. Cependant, ils sont également confrontés au problème particulièrement dangereux des pirates informatiques qui risquent de blesser physiquement les patients.

Comment les pirates informatiques peuvent-ils nuire aux patients ?

L’impact des ransomwares, des violations de données et des menaces de déni de service (DOS) sur les organismes de santé va bien au-delà des douleurs habituelles ressenties par les entreprises victimes de telles attaques.

Nous avons l’habitude d’entendre parler des dépenses engagées par les entreprises pour informer leurs clients de la compromission de leurs données personnelles, ou de l’arrêt des transactions commerciales et de la transmission des données jusqu’à ce qu’une rançon soit versée aux pirates informatiques.

Mais, comme c’est toujours le cas dans les soins de santé, la vie des gens peut être en jeu. Les cyberincidents dans les établissements de soins de santé peuvent en effet mettre en péril la santé et la sécurité des patients… et ce, en plus de tous les autres risques commerciaux décrits ci-dessus.

La prestation de soins de santé dépend de plus en plus de la technologie et des systèmes d’information, ce qui expose chaque jour davantage le secteur de la santé aux cyberrisques. En fait, le secteur de la santé a connu une augmentation de 18 % des violations depuis 2015, selon les données du Bureau des droits civils du ministère américain de la santé et des services sociaux.

Cela dit, tout cyber-événement qui perturbe ces systèmes dans les organismes de soins de santé peut également avoir un impact sur les résultats cliniques :

  • – Les salles d’urgence et d’opération pourraient être fermées, de même que les chaînes d’approvisionnement médical, ce qui priverait les patients de soins, de médicaments ou de fournitures médicales en temps voulu.
  • – Les résultats de laboratoire et les dossiers des patients pourraient être modifiés, ce qui entraînerait des diagnostics erronés ou déclencherait un traitement accidentel incorrect et mortel.
  • – Les interférences avec les dispositifs médicaux pourraient nuire aux patients qui dépendent de leur fonctionnalité pour fonctionner eux-mêmes.

La liste est encore longue. Toutefois, les organismes de santé qui considèrent la cybersécurité comme une initiative de sécurité des patients au même titre qu’une initiative informatique seront probablement ceux qui réussiront le mieux à protéger leurs populations de patients. Cependant, comment un organisme de santé peut-il y parvenir au milieu de la pléthore d’initiatives de conformité et de sécurité des patients qui se battent déjà pour attirer l’attention ?

Comment aligner les initiatives en matière de cybersécurité et de sécurité des patients

La technologie seule n’est pas la solution. Bien sûr, vous devez vous assurer que vous avez mis en place toutes les bonnes barrières technologiques pour prévenir un cyber-événement, comme le cryptage des données, la mise en œuvre d’une authentification à deux facteurs, la mise à jour régulière des logiciels et la sauvegarde des données, pour n’en citer que quelques-unes.

Mais l’élément humain impliqué dans la prévention d’un cyberincident ne peut être ignoré. L’une des mesures les plus importantes qu’un organisme de soins de santé puisse prendre pour atténuer les cyberincidents est d’éduquer et d’impliquer les employés sur les cyberrisques et leur impact potentiel sur la sécurité des patients.

Il s’agit d’une initiative descendante qui n’est pas l’apanage de l’informatique ou du conseil d’administration. Tout le monde doit être impliqué et considéré comme une partie prenante, ce qui est vraiment la seule façon d’avoir un impact, quelle que soit l’initiative. Mais cela ne veut pas dire que c’est facile.

Par exemple, la surcharge d’applications est un problème majeur pour les départements informatiques. Les départements informatiques passent énormément de temps à mettre à jour ou à modifier les innombrables applications sur lesquelles fonctionnent les organismes de soins de santé, afin qu’elles fonctionnent ne serait-ce qu’un peu. Et ce n’est qu’une partie du puzzle. Avec une telle charge de travail, comment peuvent-ils vraiment se concentrer sur la cybersécurité ?

Et puis, bien sûr, il y a le personnel médical – en première ligne, les personnes littéralement chargées de sauver des vies dans de nombreux cas et, au minimum, de traiter les patients pour qu’ils se sentent à l’aise et se rétablissent plus rapidement et complètement. Ils sont certainement chargés de nombreuses responsabilités et disposent souvent de trop peu de ressources pour faire leur travail.

Ainsi, le personnel médical ignore souvent les processus qui pourraient l’empêcher d’atteindre ces objectifs rapidement et facilement, en particulier les processus liés à la cybersécurité si leur corrélation avec la sécurité des patients n’est pas claire. En fin de compte, votre personnel doit réaliser que les processus liés à la cybersécurité sont tout aussi essentiels à la sécurité des patients que le fait de vérifier et de revérifier l’identité des patients avant de leur administrer des soins. Mais comment les amener à ce stade ?

Comment la technologie de gestion des risques peut-elle aider ?

Pour obtenir l’engagement de tous, il faut une excellente communication, de la formation et de l’éducation, ainsi que l’apport de tous les acteurs de l’organisation.

Cependant, même cela ne sera pas suffisant si vous ne facilitez pas le travail de vos professionnels de santé et ne les rendez pas plus efficaces. leur (au lieu de simplement leur dire de donner la priorité à la sécurité des patients, et donc à la cybersécurité.

La bonne technologie de gestion des risques vous permettra d’atteindre cet objectif. Si l’objectif ultime de la technologie de gestion des risques est de réduire le coût total des risques en offrant une source unique de vérité pour les données relatives aux risques et aux assurances, l’amélioration de la sécurité des patients et de la cybersécurité sont certainement aussi des sous-produits de la technologie.

En effet, il automatise et rationalise en quelques clics une grande partie des tâches de flux de travail et de collaboration qui incombent au personnel médical, et même aux services informatiques des soins de santé, ce qui leur permet d’être plus efficaces sans avoir à ignorer ou à contourner des processus importants susceptibles d’améliorer la sécurité des patients et la cybersécurité.

Par exemple, la bonne technologie de gestion des risques peut automatiser et rationaliser le processus de déclaration des événements survenus chez les patients, les pratiques de rondes et même simplifier et accélérer les analyses des causes profondes afin que des mesures correctives puissent être prises plus rapidement.

Lisez « Comment s’attaquer aux 10 principaux problèmes de sécurité des patients en 2018 ».« 

En ce qui concerne les services informatiques, une technologie de gestion des risques adaptée peut contribuer à réduire le nombre d’applications numériques utilisées par un organisme de soins de santé, notamment Intelligence économique et analyse, Systèmes de gestion du risque d’entreprise, Interne et Systèmes d’audit opérationnel, Systèmes de gestion de la santé et de la sécuritéet bien d’autres choses encore.

En effet, le personnel médical consacre moins de temps à la saisie manuelle des données et aux tactiques de collaboration chaotiques, tandis que le service informatique passe moins de temps à gérer la surcharge d’applications. Les deux groupes de professionnels de la santé disposent ainsi de plus de temps pour se concentrer sur la situation dans son ensemble et pour s’intéresser de près à la sécurité des patients et à la cybersécurité.

Tout comme vous placez vos patients au centre de nombreuses initiatives organisationnelles, veillez à placer vos collaborateurs au centre de vos initiatives de cybersécurité afin de préserver plus efficacement la vie privée des patients et de protéger leur vie.