Auteur(s) :
Simon Hodgett
30 octobre 2015
Étant donné la complexité de l’environnement technologique dans lequel nous évoluons de nos jours, de nombreux secteurs se demandent s’ils accordent suffisamment d’importance aux relations avec les fournisseurs dans le contexte de la cybersécurité. Le secteur des soins de santé ne fait pas exception à la règle. Les hôpitaux et les autres établissements de soins de santé détiennent des données vitales au sujet de leurs patients, de leur personnel et des pratiques médicales. Ces établissements sont des cibles de choix pour les voleurs de données sans scrupules. À cela s’ajoute le nombre croissant d’appareils médicaux connectés ou surveillés par voie électronique qui font leur entrée dans le système de santé. Il en résulte un terreau fertile pour les organisations criminelles, les initiés malhonnêtes et les autres malfaiteurs qui souhaitent pénétrer et perturber les systèmes liés aux soins de santé.
L’établissement qui se préoccupe de cybersécurité ne doit pas se contenter de bloquer l’accès à ses systèmes internes et de surveiller ces derniers ainsi que ses pratiques en matière d’information. Certaines des violations de données les plus importantes, y compris dans le secteur des soins de santé, ont eu lieu dans le cadre de services fournis à une entreprise par des fournisseurs et non en raison de pratiques et de politiques internes défaillantes. Certains de ces fournisseurs n’étaient pas des fournisseurs de technologies, mais bien des fournisseurs de produits et services non liés aux technologies ayant eu accessoirement accès aux systèmes d’une entreprise. Pour que nos pratiques internes en matière de sécurité soient respectées par nos fournisseurs, il est préférable de prendre des précautions avant de conclure un contrat avec les fournisseurs, de rédiger soigneusement les modalités du contrat et de surveiller de près la conformité avec celles-ci tout au long de la relation avec eux.
La sécurité des données des systèmes de soins de santé est également régie par la loi qui protège les renseignements personnels sur la santé. Une telle loi reconnaît l’importance des fournisseurs dans la protection des renseignements personnels. Par exemple, la Loi sur la protection des renseignements personnels sur la santé (Ontario) porte précisément sur la responsabilité des mandataires et des fournisseurs de services à l’égard des renseignements personnels sur la santé, et le règlement pris en application de la loi intitulée Health Information Act (Alberta) contient des dispositions générales qui doivent être incluses dans un contrat conclu avec un gestionnaire de renseignements (information manager). Tout en gardant à l’esprit ces exigences législatives, on devrait généralement conclure avec les fournisseurs des contrats qui sont fondés sur les pratiques exemplaires et exigent des fournisseurs qu’ils prennent des mesures concrètes pour prévenir toute atteinte à la sécurité et, en cas d’atteinte, amener le fournisseur à remédier à la situation ou à en réduire l’incidence.
Quoi faire.
Voici certaines mesures proactives que les établissements de soins de santé devraient prendre pour atténuer ces risques.
Connaître l’environnement. D’abord, il importe de bien connaître les données et systèmes qui sont vitaux pour l’exploitation de l’établissement ou qui représentent un risque pour la protection des renseignements personnels ou la sécurité des patients. La classification de ces données permet de gérer les risques et la façon dont ces données sont utilisées à l’interne et de définir si, quand et comment un fournisseur tiers peut y avoir accès. L’établissement devrait dresser la liste de ses fournisseurs et des contrats qu’il a conclus avec eux et noter le risque lié à la cybersécurité associé aux services fournis aux termes de chacun de ces contrats. L’établissement qui connaît les données, les systèmes et les fournisseurs présentant un risque élevé peut diriger son attention sur les aspects qui en requièrent le plus dans un contexte où les ressources pour ces activités sont inévitablement limitées.
Connaître le fournisseur. Lorsque la décision a été prise de fournir à un fournisseur l’accès à un ensemble de données ou à un système important, l’établissement doit, soit dans le cadre d’un appel d’offres ou d’un processus d’enquête, vérifier avec diligence les promesses faites par le fournisseur en matière de cybersécurité et ses pratiques réelles à cet égard. Cette vérification peut se faire à l’aide de questionnaires sur la sécurité, de visites sur place, d’un examen des politiques des fournisseurs, d’un examen des contrôles de sécurité et d’audits des pratiques en matière de sécurité de tiers.
Conclure des engagements aux fins de conformité. Le contrat conclu avec le fournisseur devrait tenir compte des renseignements obtenus dans le cadre de l’examen diligent et prévoir certaines dispositions clés portant notamment sur les éléments suivants :
- l’obligation de se conformer aux politiques pertinentes de l’établissement (qui portent, par exemple, sur la sécurité physique, les exigences à respecter pour se connecter à des systèmes, les modalités restreignant l’accès aux données et le retrait de celles-ci et l’obligation de chiffrement);
- l’obligation pour le fournisseur de se conformer à ses propres politiques (qui ont été communiquées durant l’examen diligent);
- l’obligation de se conformer aux lois, précisément celles du territoire de l’établissement qui s’appliquent à la protection des renseignements personnels sur la santé;
- le respect de normes externes pertinentes, telles que la série de normes ISO/IEC 27000;
- des modalités portant sur le personnel, comme la vérification des antécédents et la formation;
- les restrictions en matière de sous-traitance pour garantir que les données demeurent entre les mains de la partie approuvée par l’établissement tout comme la responsabilité de celles-ci, sauf entente contraire;
- les pratiques en matière de surveillance des menaces et d’essais de pénétration;
- la possibilité pour l’établissement d’effectuer des audits et d’obliger le fournisseur à maintenir son programme permanent d’audits par des tiers (par ex. des audits annuels de contrôles);
- des restrictions relatives à l’utilisation de données (même si elles sont dépersonnalisées) et l’obligation de retourner ou de détruire les données à la fin du contrat;
- l’obligation d’aviser l’établissement sans délai de violations de données ou d’accès non autorisé à des données. Le risque lié à la cybersécurité n’est pas un risque temporaire qui menace les établissements de soins de santé ou d’autres secteurs de la société, mais un aspect permanent de la gestion des risques. Des politiques et contrôles internes sévères sont essentiels et l’application du niveau élevé de surveillance et de rigueur tant à l’interne qu’aux relations avec les fournisseurs constitue un autre élément important de toute stratégie de réduction des risques.
Surveillance de la conformité. Il est essentiel de s’assurer que les fournisseurs tiennent leurs promesses en matière de cybersécurité. L’établissement doit voir à ce que dans le cadre des contrats conclus avec des fournisseurs dont il est question ci‑dessus et après la conclusion de nouveaux contrats avec eux, les outils disponibles pour promouvoir la conformité avec les obligations en matière de cybersécurité sont bien compris. Le personnel approprié doit s’assurer que les outils en matière d’information, de surveillance et d’audit prévus dans les contrats sont utilisés à une fréquence raisonnable, spécialement à l’égard des contrats conclus avec des fournisseurs qui portent sur des systèmes ou des données dont le risque ou la valeur est élevé.
Cet article est paru initialement dans Hospital News (en anglais seulement).