Voici la nouvelle norme en matière de cyber-résilience hospitalière.
Vos systèmes tombent en panne. Les patients ont encore besoin de soins. Pouvez-vous le gérer pendant trente jours ? Pas un week-end. Pas une semaine. Trente jours entiers. La Commission mixte et l’AHA affirment qu’il ne s’agit plus simplement d’une simple suggestion réglementaire. C’est l’exigence opérationnelle minimale.
La plupart des DSI n’ont pas prévu cela.
Ils ont été occupés à faire face au chaos actuel. Les violations de données brûlent déjà de l’argent – le coût moyen des soins de santé atteint 7,42 millions de dollars – et ce n’est que le prix à payer pour le vol lui-même. La véritable hémorragie vient des temps d’arrêt. La facturation manuelle passe entre les mailles du filet. Les revenus disparaissent. Les patients ne peuvent pas accéder aux urgences car les portes numériques sont verrouillées.
Alors par où commencer ? Avec le programme Cyber Resilience Readiness (CRR).
Cela commence par une auto-évaluation gratuite. C’est brutal. Cela pose une grande question : votre organisation peut-elle réellement fournir des soins sûrs en cas de panne technologique ? L’enquête touche à beaucoup de choses, mais quatre domaines sont les plus importants. Si vous les manquez, le reste n’est que bruit.
Les silos tuent la préparation
L’évaluation touche ici un point sensible. Les équipes cliniques, les opérations commerciales, la gestion des urgences : tout cela vit dans des bâtiments séparés. Ou des étages séparés. Ou des discussions séparées.
En règle générale, le service informatique est responsable de la récupération de l’application. La gestion des urgences gère la réponse aux incidents. Le leadership clinique veille à la sécurité des patients. Ils ne parlent que lorsque les alarmes sonnent.
Ce n’est pas ainsi que fonctionne la résilience.
Les DSI doivent abattre ces murs avant qu’une crise ne survienne. Ces départements doivent collaborer de manière proactive. Pas lorsque la note du ransomware arrive. Maintenant.
Le conseil d’administration n’est pas un public
Le conseil d’administration comprend-il réellement ce qui est en danger ?
L’évaluation CRR approfondit ce point. À quelle fréquence les briefez-vous ? Connaissent-ils la différence entre la continuité clinique et la continuité des activités ? Ils sont liés, bien sûr, mais ce n’est pas la même chose.
Un DSI intelligent ne se contente pas de signaler la disponibilité informatique. Ils relient directement les cyber-risques à la sécurité des patients et aux résultats financiers. Voulez-vous que le conseil d’administration ait suffisamment peur pour se soucier de la résilience ? Liez-le à leur réputation et à leurs revenus.
La conformité est une liste de contrôle. La résilience est une décision.
Les plans papier ne survivent pas
Les tests sont importants. Pas l’exercice annuel où tout le monde s’assoit dans une salle de conférence et hoche la tête. De vrais tests. Dans tous les quarts de travail. Dans toutes les lignes de services.
Des exercices efficaces s’étendent. Simulez la panne de courant de trente jours. Demandez aux hauts dirigeants de surveiller. Ensuite, et c’est la clé, agissez en fonction de ce que vous trouvez.
Si vous ignorez les résultats des forages, vous perdez votre temps.
Les hôpitaux survivent aux attaques parce que le personnel a des instincts. Des instincts que vous construisez en échouant à plusieurs reprises dans des environnements sûrs.
Vous ne pouvez pas protéger ce que vous ne pouvez pas voir
Voici la triste réalité : aucun service ne possède à lui seul tout le contenu du réseau.
Nous parlons de décennies de technologie accumulée. Dispositifs biomédicaux. Capteurs IoT. Contrôles du bâtiment. Logiciel hérité. L’inventaire est un trou noir pour la plupart des hôpitaux.
Le CIO doit tout intégrer. Visibilité des actifs, classification des données, risque lié aux fournisseurs : tout cela nécessite un seul modèle. Il ne s’agit pas seulement des serveurs au sous-sol. C’est l’appareil IRM, la pompe à perfusion, l’appareil contrôlant le système CVC dont personne ne se souvient avoir été branché il y a dix ans.
Cartographiez tous les actifs avec le risque clinique. Si vous ne savez pas qu’il existe, vous ne pouvez pas le sécuriser.
La voie à suivre
L’auto-évaluation CRR ne vous donnera pas de score. Cela ne vous réussira pas et ne vous fera pas échouer. Cela met en évidence les lacunes.
Maintenant, vous devez décider. Qui a besoin d’entendre ça ? Qu’est-ce qui casse en premier ? À quelle vitesse pouvons-nous le réparer ? Ces choix définissent votre culture.
Que devez-vous faire ensuite ?
Élaborez des plans de continuité des activités qui supposent le pire. Nous parlons de semaines de panne, pas d’heures. Exécutez des exercices sur table pour les jours 3, 10 et 30 d’un arrêt total. Pratiquez les flux de travail manuels. Mettez le personnel à l’aise pour le faire sans écrans.
Oubliez les tentatives de récupération instantanée de chaque système. Concentrez-vous sur une reprise après sinistre MVP. Le produit minimum viable qui maintient les lumières allumées et la sécurité des patients. C’est plus simple. C’est plus rapide. Les sauvegardes complètes sont coûteuses et complexes ; la vitesse est bon marché si vous avez un plan.
L’objectif est une récupération rapide jusqu’à un niveau minimal et sûr. Pas une restauration parfaite. Juste la sécurité.
Combinez cette évaluation avec une véritable stratégie MVP. Les dirigeants du secteur de la santé doivent agir maintenant. Évaluer. Réparer. Préparer.
Parce que finalement, le réseau devient silencieux. Et vous devrez continuer à vous en soucier.
