HIStalk interviewe Dan Dodson, PDG de Fortified Health Security – HIStalk

Lumière Écrivain Nov 04, 2025 Nov 04, 2025 12 min read
HIStalk interviewe Dan Dodson, PDG de Fortified Health Security – HIStalk

Dan Dodson, MBA est le PDG de l’entreprise Une assurance maladie renforcée.

image

Parlez-moi de vous et de l’entreprise.

Je suis actif dans la cybersécurité depuis 2014 et dans l’informatique de santé depuis 20 ans. Fortified Health Security est une société de cybersécurité axée exclusivement sur le secteur de la santé. Pour une surveillance et une gestion continues des cybertechnologies, nous proposons deux types de services, des services de conseil et notre société de services de sécurité gérés, ou MSSP.

En quoi une entreprise de cybersécurité dans le secteur de la santé fonctionne-t-elle différemment d’une entreprise plus générale ?

Les attaques, les adversaires et les vecteurs qu’ils utilisent sont similaires à ceux d’autres industries. La différence réside dans la manière dont vous réagissez à ces menaces et adversaires et dans la manière dont vous réduisez les risques.

Nous croyons fermement qu’il est important de disposer d’une base de connaissances et d’une compréhension du fonctionnement des organisations de soins de santé, non seulement en termes de gouvernance et de réglementation, mais également en ce qui concerne l’infrastructure, les applications existantes, les environnements mixtes, les DSE et les établissements de santé. Nous créons nos guides et recommandations qui tiennent compte de ces éléments. Nos clients obtiennent des informations plus exploitables afin que leurs équipes puissent réagir et agir plus rapidement grâce aux informations contenues dans nos recommandations.

Parmi les principaux domaines sur lesquels les organisations tentent de travailler figurent l’intelligence artificielle, les risques liés aux tiers, ainsi que la formation et la sensibilisation. Les organisations nous parlent généralement de ces trois choses.

Quelles conclusions vous ont surpris lors d’une évaluation des risques de sécurité ?

Une des surprises que nous constatons est que chacun se trouve dans une situation différente et que les faiblesses et les opportunités d’amélioration sont assez étendues. Nous avons vu de nombreuses organisations investir dans divers domaines, dont certains réduisent les risques qu’elles choisissent de prendre. Parfois, ils ont la possibilité de s’améliorer. Mais au fur et à mesure qu’ils ont construit leur programme au fil des années, certains domaines ont tendance à présenter des lacunes importantes.

Les risques liés aux tiers constituent un domaine important dans lequel les organisations tentent de relever ces défis. De toute évidence, avec l’avènement de l’intelligence artificielle, nous commençons à comprendre cela du point de vue des risques côté client.

De nombreuses conversations ont lieu autour de la formation et du développement des utilisateurs finaux. Faire un meilleur usage des outils anti-hameçonnage, etc., constitue un défi de taille.

Les mots de passe faciles à deviner ou partagés restent-ils un gros problème ?

Cela reste certainement un défi. La grande majorité des compromissions susceptibles de conduire à une violation de données impliquent qu’un utilisateur final clique sur un e-mail et soumette ses informations d’identification à un e-mail de phishing. Puis un adversaire arrive, se déplace à travers l’environnement et finit par faire des ravages. Il s’agit toujours du point d’entrée numéro un, c’est pourquoi les organisations se concentrent sur la lutte contre ce phénomène.

Il semble que les outils auraient dû être suffisamment sophistiqués pour bloquer les clics sur des liens suspects.

Les outils sont disponibles et ne pas avoir d’outil augmenterait certainement votre visibilité. Mais c’est un domaine où les adversaires sont bons. Ils peuvent parcourir ces outils et éventuellement se retrouver dans votre boîte de réception.

Nous voyons des organisations réfléchir à la manière d’atténuer cette attaque. Ai-je des employés dans un établissement de santé qui n’ont peut-être pas besoin d’un courrier électronique externe pour faire leur travail ? C’est un peu un défi culturel car aux États-Unis, les gens associent leur travail au courrier électronique. Personne n’en parle vraiment. C’est la norme.

Nous voyons des conceptions créatives autour de cela pour nous assurer de limiter la surface d’attaque. En fait, il existe également certains avantages en termes de coûts, tels que moins de licences pour toute messagerie que vous pouvez utiliser.

La deuxième approche est la formation des utilisateurs finaux. Un développement récent est que la plupart des gens connaissent quelqu’un qui a été personnellement compromis en raison d’un type d’attaque de phishing. Ou bien ils ont été frappés par des perturbations chez Target ou Nordstrom. Une partie de la formation consiste à déterminer s’il convient de se concentrer davantage sur l’aspect personnel et d’aider les utilisateurs à comprendre comment se protéger au niveau individuel. Cela augmenterait à terme le niveau de protection de l’organisation.

Qu’en est-il des utilisateurs qui se connectent à la messagerie d’entreprise à partir d’appareils personnels ?

Cela reste un problème. Le BYOD prévaut. Nous avons beaucoup de travail à faire sur le contrat. Si vous habitez dans une zone métropolitaine, les médecins bénéficient de plusieurs privilèges dans plusieurs établissements.

Qui gagne la guerre de l’IA entre hackers et organisations ?

Je pense que les données nous diraient que les adversaires réussissent mieux. Des violations se produisent encore. Si vous regardez l’Office des droits civils, le nombre de violations s’est stabilisé d’année en année, mais les impacts sont de plus en plus importants. Je dirais donc que malheureusement, les adversaires sont probablement en train de gagner ce combat. Les adversaires utilisent également l’intelligence artificielle pour lancer des attaques plus sophistiquées, à la fois par courrier électronique et en se faisant passer pour la voix d’un service d’assistance. Ils utilisent définitivement l’IA pour nous frapper sur tous les fronts.

Comment le rôle du gouvernement en matière de cybersécurité des soins de santé évolue-t-il ?

Nous estimons que nous sommes dans une certaine impasse. Il y avait beaucoup d’énergie à la fin de l’administration Biden. Le sénateur Warner a mené cette charge. Des cadres de programme ont été mis en place pour fournir des attentes claires, ainsi qu’un certain soutien financier dans un modèle de la carotte et du bâton pour l’adoption de ces cadres.

Mais une grande partie de cela s’est arrêtée. L’opinion actuelle est que nous pourrions assister à des ajustements des cadres et des attentes, mais que cela s’accompagnerait d’un soutien monétaire, qui n’est probablement pas envisagé, du moins à court terme.

Les pirates ont menacé de signaler leur violation au HHS ou ont contacté des dirigeants du système de santé, des membres du conseil d’administration, les médias et même des patients pour menacer de révéler des informations sur la violation dans l’espoir de recevoir une rançon. Comment gérez-vous cette dynamique, surtout quand vous savez que vous ne paieriez pas la plupart des gens honnêtes sans recours s’ils ne s’y conforment pas ?

C’est le plus gros problème si vous êtes confronté à un événement de ransomware ou à une violation active qui se termine par un certain type de négociation. Lorsque nous pensons à une intention hostile, les mauvais acteurs s’en prennent à nous parce que c’est de l’argent. Ils tireront toutes les ficelles possibles pour créer autant de pression que possible contre cette organisation afin d’augmenter les chances de paiement.

Ce comportement est également motivé par les recours collectifs. Les avocats qui avaient auparavant engagé des poursuites dans des affaires d’accidents de voiture et de faute professionnelle se sont tournés vers les recours collectifs en matière de cyberattaques. Les adversaires le savent, alors ils l’utilisent comme arme contre la victime attaquée. Ils tireront les ficelles pour tout ce qu’ils peuvent faire pour augmenter les chances de paiement.

Quels sont les avantages de faire passer les organisations d’outils ponctuels surveillés par des groupes de sécurité intérieure en sous-effectif à une approche plus centralisée ?

Dans la plupart des établissements de santé, les équipes sont relativement petites. Beaucoup de ces personnes travaillent dans l’organisation de soins de santé depuis de nombreuses années et ont intégré l’équipe de cybersécurité. Les systèmes de santé en général ne sont pas les meilleurs en matière de formation et ne disposent pas de fonds pour les ressources de formation.

Comment pouvons-nous garantir que les individus qui possèdent une connaissance institutionnelle des réseaux, de l’environnement et de la culture de l’organisation sont les plus efficaces en tant que cyberguerriers ? Nous travaillons avec ces organisations pour fournir des informations très précises et exploitables à cette équipe afin qu’elle puisse agir rapidement.

En termes de service ou d’opportunité, je voudrais vous dire que chaque organisme de santé se trouve à un stade différent de son parcours en matière de cybersécurité. Ils ont déjà fait des investissements. Notre organisation peut-elle s’engager, tirer parti des investissements existants et les exploiter plus efficacement pour, à terme, réduire les risques ?

L’un de vos rapports sur la préparation aux temps d’arrêt citait une infirmière en chef dont l’hôpital avait un problème inattendu parce que les jeunes infirmières ne pouvaient pas lire le script utilisé par les médecins pour rédiger les ordonnances papier. Est-il courant que des problèmes surviennent pendant des temps d’arrêt qui n’étaient pas prévus dans le plan ?

Presque à chaque fois. Les organisations tentent de se préparer aux temps d’arrêt de courte durée. Les hôpitaux refusent souvent d’y accéder pour diverses raisons qui n’ont rien à voir avec la cybersécurité. Ils ont des temps d’arrêt lorsqu’ils doivent réparer un système, mettre en œuvre un système ou mettre à niveau un ordinateur. Nous y parvenons relativement bien pendant une courte période. Le problème survient lorsque vous êtes en panne pendant une longue période et que vous ne savez vraiment pas comment gérer les jours ou les semaines pendant lesquels vous ne pourrez pas accéder aux systèmes.

Cela est dû à plusieurs choses. Premièrement, nous dépendons fortement des systèmes pour prodiguer des soins, qu’il s’agisse des DSE ou des centaines d’autres applications qui alimentent ces systèmes de santé. Ainsi, lorsqu’ils sont dans une certaine mesure déprimés, les médecins figent leurs habitudes de travail normales. L’anxiété et la nervosité s’installent car ils veulent prendre soin des patients mais ne disposent pas des contrôles techniques nécessaires pour garantir des soins rapides et de qualité. Cela ralentit considérablement le modèle de prestation de soins.

L’informatique est un autre problème que nous constatons. Comment puis-je calculer le moment où je commande un médicament spécifique ? La réconciliation avec les médicaments est une autre chose très angoissante, s’assurer de donner le bon médicament à la bonne dose au bon patient. La plupart de ces opérations se font par voie électronique, ce qui devient un problème.

La communication est également un autre grand défi que nous constatons. Comment communiquer en équipe lorsque nous utilisons un type de système de téléavertisseur ou de talkie-walkie comme Vocera et que cela ne fonctionne pas ? C’est ainsi que nous avons l’habitude de communiquer.

Enfin, de nombreux jeunes médecins n’ont jamais opéré dans un monde sans technologie. Ils ont été formés aux DSE à la faculté de médecine et prodiguaient des soins depuis des années tout en étant guidés par des systèmes électroniques.

Comment conseillez-vous aux organisations de déployer des ressources pour protéger leur dépendance toujours croissante à l’égard de fournisseurs de technologies externes ?

La première étape consiste à comprendre comment vous communiquez techniquement avec ces tiers, afin que si un événement se produit, vous puissiez rapidement prendre des mesures pour rompre les liens et limiter les perturbations de votre organisation du point de vue d’un adversaire. Mais ensuite, le défi vient du fait que vous avez besoin de ce système pour le fournir, mais la réalité est que pour les centaines de systèmes qui se trouvent dans ces établissements de santé, il n’y a pas assez d’argent pour disposer de systèmes de sauvegarde pour chacun d’entre eux. C’est irréaliste, tant sur le plan financier qu’opérationnel. Cela doublerait également votre surface d’attaque, ce n’est donc pas nécessairement recommandé. La première étape consiste à inclure tous vos tiers.

La deuxième étape consiste à déterminer l’interaction entre votre organisation et ces tiers.

La troisième étape consiste à mettre en place des dispositions contractuelles et des contrôles compensatoires de votre côté pour tenter de limiter les temps d’arrêt.

La quatrième étape consiste à travailler avec vos équipes cliniques lorsque vous réfléchissez à un plan de reprise après sinistre pour comprendre comment elles fonctionneraient avec certains systèmes critiques en panne. Commencez par ceux qui sont les plus utiles sur le plan clinique et les plus largement utilisés afin de disposer d’un certain type de plan de sauvegarde en place dans le cas peu probable où il ne serait pas disponible.

Quelle est la stratégie de l’entreprise pour les prochaines années ?

Notre stratégie consiste à continuer de travailler avec les établissements de santé pour améliorer leur posture de cybersécurité. Nous croyons fermement qu’une approche programmatique coordonnée à travers les différents éléments de leur cyberprogramme peut aider à minimiser ce risque. Nous allons investir dans notre plateforme de commandement centrale, qui est notre plateforme de prestation de services qui fournit des informations et des résultats exploitables dans toute l’organisation afin de réduire les risques.

Références de sources

Lumière Écrivain
You might also like
Boston Scientific obtient les marques PFA généralisées pour le persistance AFIB

Boston Scientific obtient les marques PFA généralisées pour le persistance AFIB

Lumière Écrivain

Dime & Elence Health travaille sur le sceau du produit de santé numérique

Dime & Elence Health travaille sur le sceau du produit de santé numérique

Lumière Écrivain

article récent
Trempette au saumon fumé préférée

Nutrition et Alimentation

Trempette au saumon fumé préférée

Trempette à la crème fouettée et à la ricotta Caprese – Skinnytaste

Nutrition et Alimentation

Trempette à la crème fouettée et à la ricotta Caprese – Skinnytaste

Recette Amaretto Sour – Amour et citrons

Nutrition et Alimentation

Recette Amaretto Sour – Amour et citrons

Tarte cottage aux oignons caramélisés

Nutrition et Alimentation

Tarte cottage aux oignons caramélisés

La clé cachée de la résilience en matière de cybersécurité dans le secteur des soins de santé

Santé technologique

La clé cachée de la résilience en matière de cybersécurité dans le secteur des soins de santé

Home
Article
Most Popular
Search
Menu

Copyright © 2025 Guide Santé : Conseils, Astuces et Informations pour une Vie Saine. All Right Reserved