Rapport 2023 sur la cyberrésilience

Cela fait partie de l’article 8 de 17 Dans le présent rapport.

August 01, 2023 / 6 minute(s) de lecture

Le profil contre le cyberrisque a été amélioré dans le secteur des soins de santé, mais le travail de résilience reste à faire

Le passage à l’Internet du Tout (Internet of Everything) présente un énorme changement culturel et technologique pour le secteur des soins de santé et chaque organisation du secteur devrait se concentrer sur le développement de structures axées sur la cybermaturité.

Principaux points à retenir

  1. Les clients ont signalé des profils améliorés contre le cyberrisque, la majorité passant du statut « de base » à celui de « géré ».
  2. La directive sur la sécurité des réseaux et de l’information (NIS2) qui se profile à l’horizon devrait favoriser la poursuite de l’amélioration contre les cyberrisques.
  3. Les organisations devraient mener des évaluations régulières portant sur les défenses techniques, la maturité des contrôles, les répercussions financières et l’assurabilité.

* La directive sur la sécurité des réseaux et de l'information (NIS2)

Du point de vue de la cybersécurité, le secteur des soins de santé fait face à un niveau de risque qu’aucun autre secteur ne connaît. Des décisions doivent être prises quant à la sécurité et au bien-être des patients et, bien que les systèmes hospitaliers soient mis en pratique et préparés à gérer les risques organisationnels comme les catastrophes naturelles, la résilience peut être moins robuste en ce qui concerne les cyberrisques. Toujours ébranlé par la pandémie, le secteur des soins de santé fait face à des conditions exigeantes. Après deux années de lutte contre la COVID-19, l’urgence sanitaire pour le secteur a pris fin en mai 2023 et les hôpitaux et les cliniques continuent de faire face à une pénurie de personnel infirmier et à des demandes d’indemnisation des employés.1 Ce besoin de personnel supplémentaire pour les soins aux patients s’accompagne d’une pénurie de talents dans le domaine des technologies de l’information (TI).2 D’après notre expérience, les organisations du secteur des soins de santé externalisent souvent les besoins informatiques à de plus petites entreprises qui peuvent présenter un niveau de sécurité ou de raffinement des contrôles informatiques différent de celui des fournisseurs plus importants et mieux établis, ou même de l’organisation du secteur des soins de santé elle-même. Elles peuvent également embaucher des travailleurs occasionnels ou contractuels d’autres régions, ce qui entraîne un manque de visibilité quant à la sécurité des données entrantes et sortantes du réseau de l’organisation.

Cette pénurie de talents dans le secteur des TI coexiste dans une tempête parfaite avec une empreinte technologique et une surface d’attaque en expansion. Les organisations du secteur des soins de santé doivent aujourd’hui adopter un nouveau niveau d’innovation numérique pour rester au fait des nombreuses solutions, qu’il s’agisse d’intégrer la technologie du nuage hybride ou de déployer des applications de télésanté à intelligence artificielle (IA) et des dispositifs portables. Et plus une organisation crée de la connectivité Internet par le biais de nouveaux outils et de nouvelles applications, plus la surface de cyberattaque s’élargit. Ces systèmes complexes et en réseau offrent plusieurs points d’entrée et les risques liés aux tiers et aux sous-traitants sont plus importants.

L’exfiltration de renseignements sensibles et le vol de propriétés intellectuelles sont des préoccupations majeures dans les secteurs des sciences de la vie et des soins de santé, que ces menaces proviennent d’initiés malveillants, de pirates informatiques affiliés à des groupes gouvernementaux ou activistes ou de rançongiciels.3 Après avoir connu une recrudescence des fusions et acquisitions ces dernières années, le secteur fait face à des risques de sécurité liés à la migration des données, entre autres lors de la consolidation des systèmes. Mais le danger n’est pas seulement financier. Les atteintes à la cybersécurité dans les organisations du secteur des appareils médicaux et des technologies médicales peuvent mettre en danger la vie des personnes qui ont besoin d’un approvisionnement immédiat ou constant en équipement, comme des stimulateurs cardiaques et des pompes à insuline.

Le passage à l’Internet du Tout présente un énorme changement culturel et technologique. Chaque organisation de soins de santé doit se concentrer sur le développement de structures axées sur la cybermaturité dans un environnement de plus en plus réglementé et litigieux. Les patients, les assureurs et les organismes de réglementation exercent des pressions sur le secteur pour qu’il respecte les normes de cyberrésilience, et les sanctions imposées en cas de non-conformité peuvent être importantes.4 Des lois comme la Health Insurance Portability and Accountability Act (HIPAA) et la Health Information Technology for Economics and Clinical Health Act (HITECH) ajoutent un élément de responsabilité créé par les partenaires d’affaires, les fournisseurs et d’autres prestataires de services. Cette chaîne de responsabilité complexe exige que les organisations du secteur des soins de santé examinent les cyberrisques de façon globale et se penchent sérieusement sur les stratégies de transfert et d’atténuation des risques. En fait, les cyberassureurs exigent maintenant des contrôles de cybersécurité minimaux pour obtenir ou conserver une protection. Les organisations du secteur des soins de santé doivent se conformer aux exigences techniques de la règle de sécurité de la HIPAA depuis de nombreuses années, mais notre examen des données montre que la cybermaturité fait l’objet d’une surveillance accrue en raison de la prolifération des cyberattaques.

Rapport sur les clients d’Aon : maturité du secteur des soins de santé à l’égard du risque

Le pourcentage médian du budget de TI consacré à la sécurité a également augmenté à l’échelle mondiale, les entreprises du secteur des soins de santé déclarant consacrer 8 % de leur budget de TI à la sécurité.

Selon l’évaluation CyQu d’Aon, l’indice de cyberrisque global des clients du marché intermédiaire s’est amélioré en 2022, passant de 2,6 à 2,8 (sur une échelle de 1 à 4). De plus, 70 % des entreprises ont affiché un résultat supérieur à 2,5 en 2022. Cela indique que ces entreprises affichent un niveau de maturité « de base », mais qu’elles se rapprochent d’un niveau « géré ». En ce qui concerne les clients du secteur des entreprises et les clients mondiaux, le profil de risque global est passé du niveau « de base » au niveau « géré », et plus de 80 % des entreprises ont déclaré des indices de 2,5 ou plus. La directive sur la sécurité des réseaux et de l’information (NIS2) qui se profile à l’horizon devrait favoriser la poursuite de l’amélioration des risques.

Indices de risque CyQu pour les segments de clientèle des soins de santé et de l’aide sociale

Revenus annuels (groupe) 2020 2022 Modifier
À l’échelle mondiale
2.1
2.9
+0.8
Entreprise
2.0
2.8
+0.8
Marché intermédiaire
2.6
2.8
+0.2
PME
2.3
2.5
+0.2

Indice de maturité en matière de risque du cyberquotient (CyQu)

Initial: 1.0 - 1.9

De base: 2.0 - 2.5

Géré: 2.6 - 3.4

Avancé: 3.5 - 4.0

Aux États-Unis, si les organisations du secteur des soins de santé ont fait état d’une amélioration globale de leur maturité, elles n’ont progressé que dans quatre des neuf domaines de contrôle des TI. Les données de contrôle des signaux d’alarme de l’évaluation complémentaire liée aux rançongiciels d’Aon indiquent que les entreprises de soins de santé américaines ont signalé des améliorations importantes dans la mise en œuvre des contrôles de l’AFM essentiels pour la souscription (77 %, comparativement à 64 % en 2021). Nous avions prévu cette progression, car les rançongiciels sont considérés comme l’un des trois principaux risques pour les organisations du secteur des soins de santé, et le marché de l’assurance a mis l’accent sur l’AFM. Les fournisseurs doivent vérifier régulièrement les vulnérabilités et mettre en place des contrôles de cybersécurité aussi stricts que ceux exigés par la plupart des cyberassureurs.


Pourcentage d’absence de contrôles informatiques essentiels pour un secteur donné aux États-Unis (signaux d’alarme)


Au Royaume-Uni, les organisations du secteur des soins de santé ont indiqué que la mise en œuvre des contrôles informatiques en 2022 a été moins solide que celle de leurs homologues américains, toutes catégories confondues. Selon les données relatives aux contrôles des signaux d’alarme de l’évaluation complémentaire liée aux rançongiciels d’Aon, les organisations manquaient 63 % des contrôles de sécurité des réseaux et des données. Le groupe de contrôle le plus sécurisé pour les organisations du secteur des soins de santé du Royaume-Uni était la gestion des correctifs, près de 80 % des contrôles étant jugés adéquats.


Pourcentage d’absence de contrôles informatiques essentiels pour un secteur donné dans la zone EMOA et au Royaume-Uni (signaux d’alarme)


Mesures pour les organisations du secteur des soins de santé

Comprendre vos risques

Menez régulièrement des évaluations des défenses techniques, de la maturité des contrôles, des répercussions financières et de l’assurabilité. Déterminez quelles vulnérabilités risquent d’entraîner des pertes humaines ou matérielles importantes et quantifiez ces pertes potentielles afin de mieux éclairer les décisions budgétaires dans un modèle de rendement des placements en matière de sécurité. Tirez parti de la compréhension du profil de risque et de la situation en matière de sécurité de l’organisation pour accéder à des solutions de transfert de risque viables. Il est important de faire enquête sur les tiers et les fournisseurs afin de contribuer à atténuer les menaces pesant sur les chaînes d’approvisionnement, et de mener des évaluations des risques internes pour mieux gérer la menace croissante que représentent les acteurs internes malveillants et intentionnels.

Lier votre centre d’opérations d’urgence au cyberrisque

Tirez parti de la force du centre d’opérations d’urgence de votre organisation pour renforcer votre cyberrésilience. Planifiez des scénarios de cyberrisque, élaborez des plans d’intervention en cas d’incident et intégrez le cyberrisque aux exercices sur maquette actuels.

Préparer l’entreprise en vue de la directive NIS22.

Assurez-vous de comprendre l’étendue de la directive sur la sécurité des réseaux et de l’information (NIS2)6, une loi de l’Union européenne qui s’applique aux organisations des secteurs des soins de santé, des sciences de la vie et pharmaceutique. Certains des changements les plus importants dans le cadre de la directive NIS2 concernent les responsabilités en matière de gestion et les amendes administratives en cas de non-conformité. Cette directive appelle à une action directe dans certains domaines clés de la cybersécurité et décrit les nouveaux contrôles qui doivent être mis en œuvre, ainsi que de nouvelles orientations quant à la façon dont les incidents importants doivent être déclarés. Assurez-vous de comprendre ce qui s’applique à votre organisation et comment vous y préparer.

Harmoniser l’intervention en cas d’incident et la planification de la continuité des activités

Éliminez la distinction entre la continuité des activités et la préparation aux interventions en cas d’incident. Effectuez un examen diagnostique des plans existants ainsi qu’une analyse des répercussions sur les activités. Réfléchissez à ce à quoi ressemble un temps d’arrêt. Éliminez le plus possible le cloisonnement pour adopter une vision globale du risque et veiller à ce que les objectifs, les processus et les procédures soient harmonisés.

Ouvrages de référence

1 “The six challenges facing healthcare in 2023 and how to handle them.” Advisory Board. Daily Briefing. 2023.

2 “Cyber Security Talent Gap: Use These Solutions to Help Rectify Ongoing Issue.” Aon. Article. January 2023 Cyber Security Talent Gap: Use These Solutions to Help Rectify Ongoing Issue | Aon.

3 A Game of Cat and Mouse: Outpacing Cyber Threats Across Industries. Aon. Article. Mars 2023. https://www.aon.com

4 How to avoid the devastating consequences of HIPAA non-compliance. HFMA. Serrano, Hernan. Article. 29 mai 2019.

5  Aon’s Cyber Quotient. Patent-pending technology.

6 NIST Cybersecurity Framework 2.0. Extrait du site https://eur-lex.europa.eu/eli/dir/2022/2555/oj


Les produits et services d’assurance sont offerts par Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. et Aon Risk Services, Inc. of Florida et leurs sociétés affiliées autorisées.

Les renseignements et les énoncés contenus dans ce document sont de nature générale et ne visent pas la situation d’une personne ou d’une entité en particulier. Ils sont uniquement fournis à titre d’information. L’information ne remplace pas l’avis d’un conseiller juridique ou d’un professionnel en assurance cyberrisques et ne doit pas être utilisée à cette fin. Bien que nous nous efforcions de fournir des renseignements exacts et actuels et d’utiliser des sources que nous jugeons fiables, nous ne pouvons garantir que l’information est exacte au moment où elle est reçue ou qu’elle continuera de l’être à l’avenir.