CHIME25 : les responsables informatiques du secteur de la santé repensent la sécurité, la gouvernance et la gestion des risques des appareils
Comment garantir la sécurité des appareils médicaux et IoT dans le secteur de la santé
Pendant la pandémie, de nombreuses charges de travail dans le secteur de la santé sont devenues distantes et les organisations ont été contraintes d’étendre leurs réseaux, augmentant ainsi la surface d’attaque des systèmes de santé. Certaines charges de travail sont restées à distance, et avec l’arrivée de nouveaux outils comme l’intelligence artificielle générative, le maintien d’un environnement sécurisé devient de plus en plus complexe.
« Grâce à l’IA générative, vous pouvez demander une recette de guacamole aussi facilement que télécharger les données des patients », a déclaré Ravi Monga, RSSI de la santé chez Zscaler. « Le paysage des menaces change et évolue.
Ismelda Garza, CIO de l’hôpital régional de Cuero, au Texas, a expliqué qu’elle a appris très tôt dans sa carrière que les gens constituent la partie la plus difficile du travail. La capacité à informer les gens sur les meilleures pratiques en matière de sécurité (du conseil d’administration et de la direction aux infirmières, cliniciens et médecins) est essentielle pour prévenir les attaques réussies.
Cependant, Monga a déclaré qu’un problème qu’il constate souvent est que l’éducation ne circule que dans une seule direction. Le service informatique signale les risques au CIO et le CIO les signale au conseil d’administration, mais cette information ne parvient pas au personnel clinique.
EN SAVOIR PLUS: Comment les systèmes de santé peuvent-ils repenser la formation à la sécurité des salariés ?
“Ce pont doit être construit et les médecins doivent participer à la conversation”, a-t-il déclaré.
Les appareils médicaux et IoT jouent un rôle important dans l’équation des risques. Les ordinateurs portables, les serveurs, les ordinateurs de bureau et presque tous les appareils informatiques sont protégés par des logiciels de sécurité robustes, mais la protection des appareils médicaux est plus difficile. Certaines peuvent avoir été créées par des entreprises qui ont fait faillite il y a plus de dix ans. Si des correctifs sont disponibles, les équipes biomédicales pourraient ne pas être prêtes à déployer un correctif et à faire face à des pannes, selon Monga.
Monga a dit de considérer un hôpital comme une maison : les attaquants se présenteront à la porte d’entrée, verront qu’il y a une protection suffisante et trouveront une entrée moins protégée à utiliser. Les appareils tels que les pompes à perfusion et les téléviseurs intelligents ne sont souvent ni protégés ni corrigés, ce qui permet aux attaquants d’y accéder facilement. Il n’est généralement pas possible de mettre ces appareils hors ligne car les médecins ont besoin de leurs informations. En conséquence, ces appareils vulnérables permettent d’accéder à des acteurs malveillants qui peuvent rester inaperçus sur le réseau d’une organisation jusqu’à ce qu’une bonne opportunité se présente.
