Donner la priorité à la cybersécurité dans les soins de santé comme mesure de la sécurité des patients

La cybersécurité des soins de santé est également une préoccupation clinique

Lorsqu'une attaque par rançongiciel perturbe les dossiers médicaux électroniques d'un hôpital, les répercussions sont immédiates et potentiellement mortelles : retards de diagnostic, annulations d'interventions et interruptions de prescriptions. Chaque seconde compte dans la prise en charge des patients, et l'accès numérique est désormais indissociable de la prestation des soins.

Nous comprenons depuis longtemps cette urgence en médecine clinique. Nous surveillons les signes vitaux, détectons les premiers symptômes et intervenons avant qu'un état ne s'aggrave. Il est désormais temps d'aborder la cybersécurité de la même manière.

Le risque cybernétique n'est plus seulement un problème informatique : il s'agit d'une préoccupation majeure pour la sécurité des patients. Cette redéfinition doit commencer au plus haut niveau, avec les conseils d'administration, les PDG et les responsables cliniques qui considèrent la cyber-résilience comme un élément de la préparation opérationnelle plutôt que comme un simple poste budgétaire technologique.

DÉCOUVREZ : Un plan de cyber-résilience robuste peut atténuer les temps d’arrêt des hôpitaux.

Les organisations doivent privilégier la prévention des menaces plutôt que la panique

Être résilient ne signifie pas être invincible. Cela signifie être conscient et préparé. Pour que la prévention soit réalisable, les établissements de santé doivent :

• Mettre en place une surveillance continue des menaces . Les professionnels de la sécurité doivent assurer une surveillance 24h/24 , avec une visibilité sur leur environnement et des réponses automatisées. En 2025, cela est essentiel pour maintenir la résilience. Les cyberattaques n'attendent pas les heures ouvrables, et vos défenses non plus.
• Redéfinir la confiance à chaque point d'accès. Dans un monde où les cliniciens sont à distance, les appareils connectés et les partenaires tiers sont omniprésents, il faut partir du principe que personne (ni aucun appareil) n'est digne de confiance par défaut. L'identité est le nouveau périmètre. La sécurité zéro confiance est la solution pour y parvenir.
• Effectuez des simulations concrètes : n'attendez pas une crise pour tester votre plan d'intervention. Simulez des scénarios réalistes à impact clinique, comme une attaque lors d'un pic d'activité aux urgences, pour tester l'état de préparation de votre organisation . Pratiquez, peaufinez et répétez.

La prévention nécessite également d'intégrer la cybersécurité aux initiatives de transformation. Alors que les systèmes de santé adoptent la migration vers le cloud, l'intelligence artificielle générative pour le diagnostic et l'interopérabilité basée sur les ressources d'interopérabilité rapide des soins de santé (FHIR) , la fonction sécurité doit être présente dès la planification, et non invitée après coup.

EN SAVOIR PLUS : Comment le Zero Trust soutient-il la cyber-résilience des organisations de santé ?

La cybersécurité est une stratégie intégrée, pas seulement une pile d'outils

Le secteur de la santé est un secteur axé sur une mission. La cybersécurité doit être alignée sur cette mission. Les RSSI et les responsables de la sécurité doivent maîtriser le langage des opérations métier et cliniques, et pas seulement celui des pare-feu et des terminaux.

La cyberstratégie joue un rôle plus important dans :

• Fusions et acquisitions . L'hygiène informatique doit faire partie intégrante de la diligence raisonnable, surtout à l'heure où la consolidation s'accélère.
• Feuilles de route d'innovation . Qu'il s'agisse de déployer un assistant IA pour les cliniciens ou de déployer des soins virtuels à grande échelle, la cybersécurité doit être un contrôle intégré , et non une considération de conformité a posteriori.
• Culture d'entreprise . L'erreur humaine demeure un facteur de risque majeur. La formation continue , les simulations d'hameçonnage et le partage des responsabilités peuvent favoriser une culture de sécurité numérique et sont plus que jamais essentiels au maintien de la sécurité des patients.

Tout le monde devrait être curieux à propos de la cybersécurité

Les membres du conseil d'administration et les cadres supérieurs n'ont pas besoin de devenir des experts en cybersécurité, mais ils doivent poser les bonnes questions, notamment :

• Dans quelle mesure sommes-nous bien placés pour prévenir, détecter et répondre aux cybermenaces ?
• Quel est notre plan de réponse aux incidents ? À quelle fréquence le testons-nous et le mettons-nous à jour ?
• Investissons-nous dans la cybersécurité à un niveau qui reflète notre risque ?

Les réponses à ces questions doivent être spécifiques, communiquées aux principales parties prenantes, répétées et comprises dans toute l’organisation.

EXLORE : Pourquoi la réponse aux incidents cybernétiques est-elle essentielle à votre stratégie de résilience ?

La cybersécurité est la norme de soins

Les cybermenaces évoluent, tout comme le système de santé et notre capacité à réagir à l'urgence.

Nous avons déjà prouvé notre capacité à mener une transformation numérique rapide et à grande échelle. Des déploiements de télésanté en période de pandémie aux outils de triage basés sur l'IA, les établissements de santé savent innover sous pression.

Nous devons désormais canaliser cette même urgence vers la sécurité. Prioriser la prévention permet non seulement de gagner du temps, de l'argent ou de préserver la réputation, mais aussi de protéger les personnes. Cela préserve la confiance et assure la continuité des soins au moment le plus crucial.

Alors que les menaces pesant sur le secteur de la santé augmentent sans cesse et ne montrent aucun signe de ralentissement, la sécurité est essentielle. Dans le secteur de la santé, la cybersécurité n'est pas une fonction commerciale, mais une obligation clinique.