Pratiques et vidéos sur la cybersécurité dans le secteur de la santé

Tous les systèmes de santé sont fortement encouragés à adopter cette série dans leurs programmes de formation ; les groupes industriels et les sociétés professionnelles, veuillez encourager leurs membres à faire de même ; et les entreprises de technologie médicale, pharmaceutiques, de paiement, d'informatique de santé et de services, veuillez envisager d'étendre cette série à vos clients et clients en complément de votre soutien.

La plupart des petits cabinets font appel à des fournisseurs de messagerie électronique externes plutôt que de mettre en place une infrastructure de messagerie interne dédiée. Les pratiques de protection des e-mails présentées dans cette section sont divisées en trois parties :

1. Configuration du système de messagerie électronique : les composants et les fonctionnalités qui doivent être inclus dans votre système de messagerie électronique
2. Éducation : comment accroître la compréhension et la sensibilisation du personnel aux moyens de protéger votre organisation contre les cyberattaques par courrier électronique telles que le phishing et les ransomwares
3. Simulations de phishing : des moyens de former et de sensibiliser le personnel aux e-mails de phishing

Les terminaux d'une petite organisation doivent tous être protégés. Mais que sont les terminaux ? Et que peut faire une petite organisation de soins de santé pour protéger ses terminaux ?

David Willis, MD et Kendra Siler, PhD, de la Population Health Information Analysis and Sharing Organization du Kennedy Space Center, sont ici pour discuter de ce que vous devriez faire pour réduire les risques qu'une cyberattaque pénètre dans vos terminaux.

Dans cette section, nous discuterons du domaine de pratique de la cybersécurité numéro 3 – Gestion des accès pour les petites organisations de soins de santé.

Cette discussion sera organisée en trois sections :

1. Qu'est-ce que la gestion des accès ?
2. Pourquoi c'est important?
3. Comment l’HICP ou le « hoquet » peuvent-ils aider à améliorer la gestion de l’accès pour les petites organisations de soins de santé ?

Le National Institute of Standards and Technology, ou NIST en abrégé, définit une violation de données comme « un incident impliquant des informations sensibles, protégées ou confidentielles copiées, transmises, consultées, volées ou utilisées par une personne non autorisée à le faire ».

Les données sensibles, protégées ou confidentielles incluent les informations de santé protégées (PHI), les numéros de carte de crédit, les informations personnelles des clients et des employés, ainsi que la propriété intellectuelle et les secrets commerciaux de votre organisation.

De quelles technologies de l'information ou de quels appareils informatiques disposez-vous dans votre organisation ? Savez-vous combien d'ordinateurs portables, d'appareils mobiles et de commutateurs réseau vous avez dans tous vos locaux ? Lesquels fonctionnent sous Windows, sous iOS d'Apple ou sous l'un des nombreux systèmes d'exploitation Android ? S'il n'est pas fixé à un mur ou à un bureau, qui est responsable de chaque appareil ?

Les réseaux fournissent la connectivité qui permet aux postes de travail, aux appareils médicaux et à d’autres applications et infrastructures de communiquer. Les réseaux peuvent prendre la forme de connexions filaires ou sans fil. Quelle que soit la forme, le même mécanisme qui favorise la communication peut être utilisé pour lancer ou propager une cyberattaque. 

Une bonne hygiène de cybersécurité garantit que les réseaux sont sécurisés et que tous les appareils en réseau peuvent y accéder en toute sécurité. Même si la gestion du réseau est assurée par un fournisseur tiers, les organisations doivent comprendre les aspects clés d'une bonne gestion du réseau et s'assurer qu'ils sont inclus dans les contrats pour ces services.

La gestion des vulnérabilités est une pratique continue d'identification, de classification, de priorisation, de correction et d'atténuation des vulnérabilités logicielles. De nombreux cadres de conformité, d'audit et de gestion des risques en matière de sécurité de l'information exigent que les organisations maintiennent un programme de gestion des vulnérabilités.

La réponse aux incidents est la capacité à identifier le trafic suspect ou les cyberattaques sur votre réseau, à les isoler et à y remédier afin d'éviter toute violation, tout dommage ou toute perte de données. En règle générale, la réponse aux incidents est qualifiée de « blocage et résolution » standard de la sécurité des informations. De nombreux types d'incidents de sécurité se produisent régulièrement dans des organisations de toutes tailles. En fait, la plupart des réseaux sont constamment attaqués par des entités extérieures.

Les systèmes de santé utilisent de nombreux appareils différents dans le cadre du traitement de routine des patients. Il peut s'agir de systèmes d'imagerie ou d'appareils qui se connectent directement au patient à des fins diagnostiques ou thérapeutiques. Ces appareils peuvent avoir des implémentations simples, comme des moniteurs de chevet qui surveillent les signes vitaux, ou être plus complexes, comme des pompes à perfusion qui délivrent des thérapies spécialisées et nécessitent des mises à jour continues de la bibliothèque de médicaments. Ces appareils complexes et interconnectés affectent la sécurité, le bien-être et la confidentialité des patients, et ils représentent des vecteurs d'attaque potentiels dans l'empreinte numérique d'une organisation. À ce titre, ces appareils doivent inclure des contrôles de sécurité dans leur conception et leur configuration pour permettre un déploiement sécurisé.

Pratique de cybersécurité n° 10 : Les politiques de cybersécurité comprennent les meilleures pratiques qui sont des documents spécifiques à la mise en œuvre des politiques et procédures de cybersécurité dans votre établissement de soins de santé.