Renforcer la cybersécurité dans le secteur de la santé
Table des matières:
Le groupe UnitedHealth piratage mammouth L'année dernière a non seulement encouragé le contrôle du Congrès, mais a également suscité une proposition de mise à jour des règles fédérales de cybersécurité dans le secteur de la santé. La consultation publique à ce sujet étant désormais close, tous les regards sont tournés vers l'exécutif pour connaître sa prochaine décision.
Vendredi dernier, le 7 mars 2025, la date limite de consultation publique était fixée pour une proposition de mise à jour majeure de la réglementation de sécurité de la loi de 1996 sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA). Cette mise à jour imposerait des exigences de cybersécurité plus strictes aux nombreuses organisations déjà couvertes par la loi HIPAA.
Une loi désuète dans un secteur en pleine modernisation
Lors de l'adoption de la loi HIPAA, le Palm Pilot était à la pointe de la technologie mobile, Hotmail était nouveau, Google n'était pas encore lancé et seulement 36 millions de personnes utilisaient Internet. La loi n'a pas été mise à jour de manière substantielle depuis 2013.
Entre-temps, la façon dont le système de santé traite l'information a considérablement évolué. Les lois HITECH et 21st Century Cures Act ont encouragé les investissements technologiques et le partage des données, inaugurant une période de modernisation rapide.
Le ministère américain de la Santé et des Services sociaux (HHS) a estimé que les règles devaient être mises à jour pour refléter l'époque. En décembre, a proposé la nouvelle règle de cybersécurité afin de protéger le secteur de la santé contre ce qu'il considère comme une vague croissante de cyberattaques. Il s'agit d'une réaction directe à la multiplication des cyberattaques contre le secteur.
Une vague croissante de violations des soins de santé
Le HHS tient à jour ses propres chiffres sur les violations de données via son Bureau des droits civiques (OCR). Il a constaté que les incidents de violation de données de grande ampleur ont doublé entre 2018 et 2023, tandis que le nombre de personnes touchées a décuplé, ce qui indique que les violations individuelles ont un impact croissant. Cela n'est pas surprenant compte tenu de la croissance des rançongiciels, que le HHS dénonce expressément. Il a également cité la violation de Change Healthcare, filiale du groupe UnitedHealth, qui, avec 190 millions de victimes, a touché plus de la moitié de la population américaine. Le HHS a averti que cela entraînerait une augmentation substantielle du nombre de violations en 2024.
D’autres chiffres de l’industrie le confirment. Rapport Ponemon 2024 sur la cybersécurité dans le secteur de la santé ont déclaré que 92 % des établissements de santé interrogés avaient subi au moins une cyberattaque au cours de l'année précédente. En moyenne, l'attaque la plus coûteuse subie par chaque victime lui a coûté 4.7 millions de dollars, et 79 % ont déclaré que les attaques avaient perturbé les opérations des patients.
Pression du Congrès
Les législateurs ont également appelé à une réglementation plus stricte de la cybersécurité dans le secteur de la santé. Trois mois plus tôt, le président de la commission des finances du Sénat, Ron Wyden, et le sénateur Mark Warner, tous deux démocrates, introduit La loi sur la sécurité et la responsabilité des infrastructures de santé (HISA), qui demandait au HHS de mettre en œuvre des règles de cybersécurité plus strictes tout en supprimant les plafonds de sanctions civiles pour les entités concernées qui enfreignent cette règle. Après le piratage, Wyden s'est montré particulièrement critique envers UnitedHealth Group, réclamant une enquête fédérale sur les pratiques de cybersécurité de l'entreprise.
De nouvelles mesures strictes
La proposition de mise à jour du règlement du HHS supprime l'idée de mesures de sécurité « adressables » non obligatoires, rendant ainsi obligatoires toutes les mesures décrites. Elle ajoute des délais précis pour de nombreuses exigences existantes. Toutes les politiques de sécurité doivent être documentées par écrit.
Analyse des risques : Les organisations doivent inclure des évaluations écrites d'un inventaire des actifs et d'une cartographie du réseau révisés annuellement, qui suivent la circulation des données de santé électroniques personnelles (DSE) dans leurs systèmes. Elles doivent identifier toutes les menaces pesant sur ces informations et ces systèmes, en classant leurs niveaux de risque.
Réponse aux incidents et divulgation : La réglementation proposée prévoit également des mesures d'intervention sectorielles plus strictes, notamment des plans écrits pour signaler les incidents de sécurité et restaurer l'accès aux systèmes et aux données dans un délai de 72 heures, en fonction de leur criticité. Les partenaires commerciaux doivent également informer les organisations internes de l'activation de leurs plans d'urgence.
Audits de conformité : Les organismes de santé doivent se soumettre à un audit annuel de conformité à la règle de sécurité et obtenir une attestation écrite d'un expert attestant que tous leurs partenaires commerciaux respectent la règle. De même, les partenaires commerciaux doivent obtenir la même attestation de la part de leurs sous-traitants.
Contrôles techniques : Toutes les données de santé électroniques (ePHI) doivent être chiffrées au repos et en transit, et l'authentification multifacteur et la protection contre les logiciels malveillants seront obligatoires. Les logiciels externes doivent être supprimés des systèmes concernés et les ports réseau appropriés doivent être désactivés. Les réseaux doivent être segmentés. Des contrôles distincts et dédiés à la sauvegarde et à la restauration doivent être mis en place, et les systèmes doivent être analysés tous les six mois pour détecter d'éventuelles vulnérabilités et soumis à un test d'intrusion annuel.
Promoteurs de régimes collectifs : La mise à jour proposée concerne également les organisations, comme les employeurs qui souscrivent à des régimes d'assurance maladie collectifs. Leurs documents de régime doivent inclure les exigences de conformité à la règle de sécurité proposée, et ils doivent s'assurer que l'agent d'assurance maladie qui collecte leurs ePHI en fasse de même. S'ils doivent activer leur plan d'intervention en cas d'incident, ils doivent en informer les membres de leur régime dans les 24 heures.
Ce que cela signifie pour les entreprises du secteur de la santé
Ces nouvelles mesures obligatoires contrastent avec une approche largement volontaire des normes de cybersécurité. En janvier 2024, le HHS a publié son programme 405(d), un ensemble d'approches de sécurité volontaires pour les organisations du secteur de la santé. Cependant, ces mesures s'inscrivaient dans un plan plus large visant à imposer une plus grande responsabilité au secteur en matière de cybersécurité.
À l'instar de la loi HIPAA, la mise à jour proposée s'applique aux prestataires de soins de santé en aval, comme les hôpitaux, ainsi qu'aux organisations en amont, comme les régimes d'assurance maladie, les assureurs et les centres d'échange d'informations de santé qui acheminent les données de santé électroniques entre ces organisations. Les partenaires commerciaux, c'est-à-dire les entreprises qui traitent les données de santé électroniques pour le compte des entités concernées, sont également concernés.
Les lecteurs qui estiment que ces changements reflètent simplement une hygiène informatique de base ne sont pas les seuls. La mise à jour proposée représente une amélioration substantielle des règles HIPAA existantes, affirment les experts juridiques, mais elle comble également une lacune réglementaire en alignant davantage le secteur sur les recommandations de cybersécurité actuellement acceptées, telles que le Cadre de cybersécurité du NIST.
« Pour les organisations qui ont déjà adopté ces « meilleures pratiques », bon nombre des nouvelles exigences du projet de règlement seront familières et, dans de nombreux cas, auront déjà été mises en œuvre. » argumenter Brian G. Cesaratto, Lisa Pierce Reisz, Alaap B. Shah d'Epstein Becker & Green dans la National Law Review. Dans ce cas, la majeure partie du travail consistera probablement à trier et à remplir des formulaires pour satisfaire aux exigences administratives.
Toutefois, les organisations couvertes qui ont fait preuve de laxisme dans leurs mesures de cybersécurité auront du pain sur la planche. La loi HISA, encore en cours d'examen, a apporté des modifications importantes. Elle a notamment alloué 800 millions de dollars aux hôpitaux ruraux et urbains bénéficiant du système de sécurité sociale pour se mettre en conformité, et 500 millions de dollars supplémentaires seront ensuite alloués à tous les autres hôpitaux.
La mise à jour du règlement du HHS ne semble pas prévoir un tel financement. Cela pourrait constituer un point de friction.
« Étant donné que la norme de garanties « raisonnables et appropriées » de la règle de sécurité doit tenir compte du coût, de la taille, de la complexité et des capacités, les propositions plus prescriptives de l'avis de proposition de réglementation (NPRM) et l'absence d'exigences adressables représentent un lourd fardeau, en particulier pour les petits fournisseurs. » écrire Amy S. Leopard, associée chez Bradley Arant Boult Cummings LLP et son associé Adriante Carter.
What Happens Next
Après la fin de la période de consultation publique, le HHS recueillera probablement les commentaires et y répondra. En règle générale, la règle sera modifiée pour tenir compte de certains de ces commentaires, et le secteur sera tenu de s'y conformer 180 jours après sa finalisation par le Département.
Cependant, il est incertain que le NPRM se poursuive sous sa forme actuelle – ou sous une forme quelconque. Le récent changement administratif aux États-Unis a annoncé des changements politiques sans précédent à une vitesse vertigineuse. Avec Robert F. Kennedy Jr. aux commandes du Département, et le président actuel maintenant une approche déréglementaire de longue date et semblant réduire le financement du gouvernement fédéral autant que possible, le paysage politique pour le reste de l'année 2025 est incertain.
