Santé-Piratage du système de santé par l'ISAC 5/9/2024

Cette semaine, Hacking Healthcare™ se concentre sur les nouveaux développements autour des risques, de la sûreté et de la sécurité de l'IA. En particulier, nous analysons la création du nouveau Département de la sécurité intérieure (DHS)) Conseil de sécurité et de sûreté de l'intelligence artificielle et ensuite revoir les nouvelles directives du DHS Lignes directrices en matière de sûreté et de sécurité pour les propriétaires et exploitants d’infrastructures critiques.

Pour rappel, il s'agit de la version publique du blog Hacking Healthcare. Pour des analyses et des avis plus approfondis, devenez membre de H-ISAC et recevez la version TLP Amber de ce blog (disponible sur le portail des membres).

Bienvenue à Hacking Healthcare™.

Exercice de loisir Santé-ISAC Americas 2024

Le Health-ISAC intensifie une fois de plus les préparatifs de son Hobby Exercise annuel pour les Amériques ! Pour les nouveaux membres du Health-ISAC, le Hobby Exercise est un événement annuel sur les soins de santé et la santé publique (HPH) conçu pour mobiliser le secteur de la santé et les partenaires stratégiques sur les défis importants en matière de sécurité et de résilience. L'objectif principal est d'informer et de fournir des opportunités d'amélioration continue organisationnelle tout en augmentant la résilience du secteur de la santé.

Le lien suivant vers le rapport après action sur les exercices de loisir de l'année dernière fournit un bon aperçu des types d'interaction et de valeur que vous pouvez attendre de l'événement de cette année :

https://h-isac.org/hobby-exercise-2023-after-action-report/

L'exercice de cette année aura lieu le 6 juin au bureau de Venable LLP à Washington, DC. Les membres sont encouragés à enregistrer leur intérêt à participer au lien suivant :

https://portal.h-isac.org/s/community-event?id=a1Y7V00000ZmFVwUAN

Le Mémorandum sur la sécurité nationale 22 révise l'approche américaine des infrastructures critiques

Le 30 avril, l’administration Biden a publié le Mémorandum sur la sécurité nationale 22 (NSM-22) : sur la sécurité et la résilience des infrastructures critiques.^[I] Ce mémorandum est la dernière révision d’une série de mémorandums exécutifs qui ont cherché à définir ce qui constitue une infrastructure critique aux États-Unis et à décrire comment le gouvernement est censé améliorer la sécurité et la résilience de cette infrastructure critique. Comme on pouvait s’y attendre, le NSM-22 aura des répercussions directes et indirectes sur le secteur de la santé et de la santé publique (HPH).

Qu'est-ce que le NSM-22 et que remplace-t-il ? 

Depuis 2013, le gouvernement fédéral des États-Unis s’est basé sur la directive présidentielle 21 (PPD-21) pour définir ce qui constitue une infrastructure critique aux États-Unis, comment le gouvernement américain doit s’y prendre pour sécuriser cette infrastructure et pour définir le rôle envisagé du secteur privé. Bien que cette directive exécutive n’ait pas force de loi, elle n’a jamais été abrogée ou remplacée avant la semaine dernière.

Cette mise à jour a été lancée avec l'adoption du HR6395, la loi d'autorisation de la défense nationale William M. (Mac) Thornberry pour l'exercice 2021, qui exigeait que le secrétaire du DHS, en consultation avec les responsables des agences de gestion des risques sectoriels (SRMA), « examine le cadre actuel de sécurisation des infrastructures critiques… » et soumette un rapport relatif aux éventuelles révisions.^[Ii] Le contenu de ce rapport a été approuvé par le président Biden et les travaux sur ce qui allait devenir le NSM-22.

Contenu du cours NSM-22

D'une longueur d'environ 35 pages, le NSM-22 fournit les éléments suivants pour « faire progresser l'unité nationale des efforts [des États-Unis] pour renforcer et maintenir des infrastructures critiques sûres, fonctionnelles et résilientes » :^[Iii]

• Huit principes politiques;
• Huit objectifs ;
• Clarification des rôles et responsabilités des ministères et organismes fédéraux;
• La promotion de la gestion des risques et d’une approche de la sécurité et de la résilience tenant compte de toutes les menaces et de tous les dangers ;
• L’imposition d’exigences minimales de sécurité et de résilience pour les secteurs d’infrastructures critiques ;
• L’orientation d’un plan national de gestion des risques liés aux infrastructures ;
• La réitération des entités d’importance systémique (EIES) ;
• Un renforcement du partage de renseignements et de l’échange d’informations ;
• Une réitération de la définition des infrastructures critiques, des secteurs d’infrastructures critiques désignés et des SRMA responsables ; et
• Un plan de mise en œuvre permettant aux entités fédérales d’exécuter ce qui a été décrit ci-dessus.

Action et analyse
**Inclus avec l'adhésion à Health-ISAC**

Audiences/réunions internationales à venir

• EU
  1. Aucune réunion pertinente pour le moment
• US
  1. Aucune réunion pertinente pour le moment
• Reste du monde
  1. Aucune réunion pertinente pour le moment

^[I]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Ii] https://www.congress.gov/bill/116th-congress/house-bill/6395

^[Iii]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Iv] Décision présidentielle Directive/NSC-63

^[V] Directive de politique présidentielle 21

^[Vi] « Des systèmes et des actifs, qu’ils soient physiques ou virtuels, si vitaux pour les États-Unis que l’incapacité ou la destruction de ces systèmes et actifs aurait un impact débilitant sur la sécurité nationale, la sécurité économique nationale, la santé ou la sécurité publique nationale, ou toute combinaison de ces questions. »

^[Vii]https://www.washingtonpost.com/politics/2023/10/16/biden-administration-goes-back-drawing-board-water-cybersecurity/

^[Viii]https://www.cisa.gov/cross-sector-cybersecurity-performance-goals#:~:text=A%20common%20set%20of%20protections,known%20risks%20and%20adversary%20techniques

^[Ix] https://hphcyber.hhs.gov/performance-goals.html

^[X]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[xi]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[xii] https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

• Ressources et actualités connexes
• Un hôpital du Massachusetts refuse l'accès aux ambulances après une cyberattaque
• Podcast : Phil Englert parle de la cybersécurité des dispositifs médicaux
• La menace interne refait surface
• « Occasion manquée » : l’absence du gouvernement américain à la conférence RSAC crée un vide immense
• Santé-Piratage du système de santé par l'ISAC 3/26/2026
• Santé-Piratage du système de santé par l'ISAC 3/19/2026
• Bulletin mensuel Health-ISAC – Avril 2026
• Rapport d'après-action : Série d'exercices de résilience Health-ISAC 2025
• Pourquoi le rôle de Microsoft Intune dans la cyberattaque de Stryker est une perspective inquiétante
• Le gouverneur du Texas ordonne un examen étatique des technologies médicales fabriquées en Chine