4 prédictions de cybersécurité dans le secteur de la santé en 2023
Au cours des dernières années, le secteur de la santé a subi une transformation majeure par rapport à d'autres industries. La pandémie a obligé les organisations de santé à trouver de nouvelles méthodes de type "digital-first" pour répondre aux besoins de leurs patients et à adopter des services d'infrastructure numérique pour maintenir leurs opérations. Une étude de KPMG a d’ailleurs révélé que 63 % des organismes de santé progressent dans leur programme numérique, contre 44 % des organismes d'autres secteurs.
Cette évolution a entraîné l'essor des services de télésanté et une augmentation de l'adoption de partenaires SaaS, d'appareils IoT et d'infrastructures numériques. En raison de cette évolution vers la numérisation, les industries de la santé se sont retrouvées surexposées aux risques et aux attaques. C'est en grande partie la raison pour laquelle elles ont connu une augmentation de 69 % du volume des cyberattaques, la plus élevée de toutes les industries.
Maintenant qu'une grande partie du monde retrouve son équilibre, le défi pour 2023 est de comprendre comment s'adapter à un monde post-COVID qui intègre cette nouvelle transformation numérique de manière à traiter la cybersécurité ainsi que les nouvelles menaces émergentes. Pour les industries de la santé, il s'agit de trouver un équilibre entre leurs initiatives numériques et la cybersécurité et de mettre en œuvre une stratégie de gestion des risques et de cyber-résilience approfondie et complète, tournée vers l'avenir pour 2023 et au-delà.
Voici 4 prédictions de cybersécurité dans le secteur des soins de santé pour 2023.
1) La sécurité des appareils sera une priorité majeure
L'utilisation de dispositifs IoT et d'appareils médicaux connectés a toujours représenté un risque pour les organismes de santé, en raison de la faible sécurité des dispositifs eux-mêmes et parce que les organisations ne prennent généralement pas les précautions nécessaires pour minimiser le risque de violation. L'utilisation des dispositifs IoT devrait toutefois augmenter et, comme les fabricants font attention à la sécurité, la charge de sécuriser ces dispositifs et les réseaux de connexion incombera aux responsables des services de sécurité.
Les services de soins à distance et de télésanté devraient également augmenter. Il s'agit de soins hors site qui nécessiteront une surveillance continue et des dispositifs supplémentaires capables de relayer des informations sans fil et de faire partie du traitement global du patient. Les organismes de soins de santé ne doivent pas tomber dans le même piège que les dispositifs médicaux et ignorer les préjudices potentiels en matière de sécurité, d'autant plus qu'un attaquant peut désormais être en mesure de cibler le réseau personnel d'un patient, créant ainsi un nouveau risque juridique pour les prestataires de soins.
Les responsables de la sécurité devront gérer un environnement de plus en plus complexe, composé de nombreux appareils potentiellement non sécurisés, tout en veillant à ce que les nouvelles initiatives de soins à distance et de télésanté n'exposent pas l’organisation à des risques de cybercriminalité, de conformité ou de litige.
2) Les attaques autres que les ransomwares sont susceptibles d'augmenter
Depuis la pandémie, les attaques de ransomwares ont connu une augmentation spectaculaire, avec une hausse de 105 % en 2021, et de 94 % en 2022 pour les organisations de santé. En 2023, cependant, nous pourrions assister à une augmentation moins prononcée du nombre d'attaques par ransomware pour plusieurs raisons. La chute spectaculaire de la valeur des crypto-monnaies, la forme de paiement la plus courante pour les attaques de ransomware, pourrait conduire à des attaques ayant un gain plus faible, étant donné la volatilité des prix des crypto-monnaies.
La montée en puissance des ransomwares a été bien documentée et les organisations de tous les secteurs ainsi que les fournisseurs, outils et partenaires de sécurité se sont efforcés de minimiser le risque et l'efficacité de ces attaques.
Ces facteurs peuvent inciter les attaquants à délaisser les ransomwares « traditionnels » au profit d'autres types d'attaques susceptibles d'avoir un taux de réussite plus élevé. Il peut s'agir d'attaques BEC (Business Email Compromise), de phishing et d'attaques DDoS par rançon, où les attaquants mettent hors service les serveurs ou le site Web d'une organisation jusqu'au paiement d'une rançon. Les cybercriminels savent que le secteur des soins de santé est une cible de choix, de sorte qu'il pourrait être la cible principale de ces nouvelles attaques, ce qui oblige les responsables de la sécurité à se concentrer sur plus que les ransomwares dans leur stratégie de cybersécurité.
3) Le leadership en matière de cybersécurité sera enfin considéré comme une priorité
Le secteur des soins de santé a toujours eu du mal avec la cybersécurité, en grande partie à cause d'un manque de priorité, de ressources et de leadership. Ces dernières années, la complexité s'est accrue, la surface d'attaque moyenne a augmenté et les attaquants malveillants se sont montrés beaucoup plus agressifs et ont intensifié leurs attaques, en particulier les ransomwares.
Malgré ces facteurs de risque nouveaux et étendus, peu d'organisations de soins de santé ont modifié leur stratégie et engagé davantage de ressources dans la cybersécurité et les départements informatiques. Le secteur s'est donc retrouvé sous-préparé et sous-financé pour lutter contre ces nouvelles menaces. Par exemple, les dépenses de cybersécurité des hôpitaux ne représentent en moyenne que 5 % des dépenses informatiques.
Ce besoin de cybersécurité a également attiré l'attention du gouvernement américain. Le 13 octobre, le conseiller adjoint à la sécurité nationale pour les technologies cybernétiques et émergentes a annoncé que de nouvelles normes de cybersécurité pour le secteur pourraient voir le jour dans un avenir proche.
Au cours de 2023, nous attendons des dirigeants qu'ils passent enfin à l'action, qu'ils consacrent davantage de ressources à la cybersécurité et qu'ils disposent d'un poste de direction chargé d'élaborer une stratégie globale de cybersécurité qui gère les risques de manière proactive, renforce la résilience et prépare l'organisation aux capacités de prévention, de détection et de réaction.
Bien qu'il ne s'agisse pas nécessairement d'un nouveau rôle, comme celui de RSSI, il peut faire partie d'un ensemble de responsabilités élargies pour le DSI, le CRO (Chief Risk Officer), le CTOO (Chief Technology Operations Officer) ou un équivalent organisationnel.
4) Les organisations se tourneront vers les services managés pour optimiser leurs budgets
Malgré l'augmentation de la priorité accordée à la cybersécurité, à la gestion des risques et des menaces, l'incertitude économique et les craintes de récession entraîneront probablement un resserrement des budgets et un examen plus minutieux des dépenses, ce qui devrait affecter les départements de technologie et de cybersécurité.
La cybersécurité dispose souvent de ressources minimales au départ, mais il y a de bonnes nouvelles. L'analyse et les recherches du cabinet BCG montrent que si de nombreux acheteurs informatiques craignent une récession, ils s'attendent à augmenter leurs dépenses, notamment dans les services numériques, y compris la cybersécurité.
Que l'on consacre plus d'argent à la cybersécurité ou non, il est important d'être conscient des coûts sans compromettre la cybersécurité. Les leaders du secteur de la santé ont identifié les services managés comme une option beaucoup plus intéressante que la mise en place d'un département de cybersécurité dont les coûts risquent d'exploser. Nous avons également mentionné précédemment que l'augmentation du nombre d'outils et de fournisseurs de sécurité dans l'environnement d'une organisation n'aura pas l'impact souhaité si aucun service de cybersécurité n'est disponible pour optimiser les outils.
En 2023, le MDR (Managed Detection and Response) et le XDR (eXtended Detection and Response) seront probablement des services et des technologies de cybersécurité populaires pour les organisations de santé qui s'engagent à gérer efficacement leurs risques.
Les responsables du secteur de la santé doivent donner la priorité à l'élaboration d'une stratégie globale de cybersécurité en 2023
La façon dont les organismes de santé répondent, s'adaptent et donnent la priorité à leur cybersécurité déterminera leur position parmi leurs pairs. Les violations de données sont coûteuses, les risques de conformité ne peuvent être ignorés et une attaque réussie peut être dévastatrice pour une organisation et ses patients si une stratégie proactive n'est pas mise en place. Pour réussir dans le domaine de la cybersécurité, et pour vraiment s'adapter et réagir à l'environnement chargé de menaces d'aujourd'hui (et de demain), une stratégie de cybersécurité à part entière est nécessaire.
Les dirigeants doivent considérer le risque cybernétique comme un risque organisationnel et élaborer une stratégie qui intègre la feuille de route et les objectifs généraux de l’organisation afin de sécuriser efficacement l’infrastructure au fur et à mesure de sa croissance et de son expansion. Ils doivent également optimiser toutes les ressources disponibles et donner la priorité à la sécurisation de leur surface d'attaque élargie et s'assurer que tout nouvel outil, toute nouvelle technologie ou tout nouveau partenaire se traduise par un retour sur investissement rapide.
L'utilisation de services managés est une tendance prometteuse, susceptible de faire la différence dans la réussite de la stratégie de cybersécurité d'une organisation de santé. Compte tenu des priorités et des risques en jeu, la mise en place d'un département entier de cybersécurité prendrait trop de temps et aboutirait probablement à une stratégie de cybersécurité moins efficace. La pénurie de talents reste un problème pour de nombreuses organisations. Il n'est donc pas garanti qu'un département puisse être pourvu, même si le budget est prévu pour des travailleurs supplémentaires.
Le recours à des services et technologies tels que le MDR et le XDR peuvent contribuer à alléger la charge d'un département de cybersécurité tout en bénéficiant d'une assistance 24h/24 et 7j/7, ce qui peut être crucial en cas d'attaque. Il s'agit d'un moyen rentable de disposer d'une expertise de sécurité proactive pour détecter, corriger et répondre aux incidents de cybersécurité. Trouver un partenaire de cybersécurité qui donne la priorité à une intégration rapide peut aider une organisation à réaliser des gains de temps beaucoup plus efficacement qu'avec une stratégie interne.
Pour en savoir plus :
- Téléchargez le guide des 7 étapes d’une stratégie cyber-résilience
- Découvrez comment Bitdefender répond aux besoins de cybersécurité des organisations de santé