LeadingAge 2025 : Sécuriser un secteur vulnérable face aux menaces émergentes

La vice-présidente et directrice juridique, Jennifer Griveas, a souligné l'importance d'une analyse actualisée des risques liés à la conformité aux règles de sécurité HIPAA . Les organisations négligent souvent ce fondement essentiel de la protection des données sensibles.

« Première étape : si vous n’avez pas effectué d’analyse des risques liés aux règles de sécurité HIPAA , vous devez en effectuer une », a déclaré Griveas.

Elle a déclaré que bon nombre des sanctions infligées par le Bureau des droits civils du département américain de la Santé et des Services sociaux aux prestataires de soins de santé ayant subi une infraction étaient souvent dues à un manque d'analyse spécifique des risques.

Les petites organisations peuvent être en mesure de réaliser elles-mêmes ce projet en utilisant des ressources disponibles gratuitement, mais un partenariat peut s'avérer utile pour celles qui n'ont pas de personnel dédié à la sécurité informatique ou pour les services déjà surchargés par d'autres priorités.

Il est également essentiel d'assurer une maintenance régulière, car dans le contexte actuel de la sécurité, une cyberattaque est inévitable. Avec le développement d'outils et de processus basés sur l'intelligence artificielle, les organismes de soins aux personnes âgées doivent prendre en compte un nombre croissant d'éléments pour protéger les données de santé personnelles .

« Si vous vous trouvez dans cette situation et qu'une faille de sécurité survient, et que l'OCR souhaite examiner votre évaluation des risques liés aux règles de sécurité, et que vous répondez : "Voici une évaluation datant de 2019", il est impossible que votre évaluation des risques soit à jour, surtout par rapport à la période pré-pandémique et maintenant, après l'introduction de l'IA. Tout ce que nous avons fait est en train de changer », a déclaré Griveas.

Cette analyse des risques est essentielle pour les grandes entreprises et constitue un point de référence précieux lors de l'intégration de nouvelles technologies. Elle permet aux équipes de comprendre la composition de leur environnement informatique et d'identifier les personnes y ayant accès.

« Je pense que les gens ont parfois une vision très technique des règles de sécurité HIPAA, alors que ce n'est pas le cas. Il s'agit de structures », a-t-elle ajouté.

Cliquez sur la bannière ci-dessous pour vous inscrire à la newsletter hebdomadaire de HealthTech.

Le vice-président des technologies de l'information et responsable de la conformité, Michael Gray, a également souligné l'importance de se tenir informé des différentes cyberattaques. Il y a cinq ou six ans, a-t-il fait remarquer, rares étaient ceux qui levaient la main lorsqu'on demandait aux participants s'ils savaient ce qu'était une attaque par rançongiciel. Aujourd'hui, ce type d'attaque est largement connu dans le secteur.

« Si nous ne sommes pas conscients de ces risques, et si notre personnel ne sait pas quels sont ces risques, nous ne pouvons pas vraiment nous en défendre », a-t-il déclaré.

Les acteurs malveillants tenteront désormais de se maintenir le plus longtemps possible au sein de l'environnement d'une organisation ciblée et pourront même lancer plusieurs attaques . Des intermédiaires d'accès initial revendent ensuite l'accès à d'autres personnes une fois qu'ils ont pénétré le réseau d'une organisation. Face à la sophistication croissante des techniques d'ingénierie sociale, l'authentification multifacteurs évolue pour devenir plus résistante au phishing .

Même si un établissement de soins pour personnes âgées se croit prêt à faire face à une cyberattaque, explique Gray, de longs délais de rétablissement sont inévitables. Il est donc essentiel que les équipes de tous les services sachent comment assurer la continuité des opérations lorsque les systèmes sont hors service. Lors d'un exercice de simulation auquel il a participé, l'une des préoccupations portait sur la capacité des jeunes employés à tenir des dossiers papier. Il a donc fallu prévoir des formations rapides à cette pratique.

« Même avec une préparation optimale, la remise en service des systèmes prend beaucoup de temps. Votre assureur cyber et la société d'expertise judiciaire mandatée doivent être absolument certains que votre environnement est sain avant de remettre vos systèmes en ligne », a déclaré Gray.

Il ne s'agit pas seulement de disposer des meilleurs outils de sécurité ; les personnes qui composent une organisation doivent bien connaître la stratégie de sécurité et bénéficier d'une formation régulière .

« Nous sommes de fervents partisans de la présence autour de la table des personnes possédant les connaissances appropriées, qu'elles occupent un poste de direction, interagissent avec le conseil d'administration, conseillent la direction ou fassent partie de celle-ci, afin de pouvoir évaluer pleinement si nous faisons le nécessaire pour bénéficier de la protection dont nous avons besoin », a déclaré Griveas.

Ajoutez cette page à vos favoris pour suivre notre couverture du congrès annuel LeadingAge 2025. Suivez-nous sur X à @HealthTechMag et participez à la conversation avec le hashtag #LeadingAge25 .