En mai, une cyberattaque majeure a paralysé les opérations cliniques pendant près d'un mois chez Ascension, un fournisseur de soins de santé qui comprend 140 hôpitaux à travers les États-Unis. Les enquêteurs ont attribué le problème à un ransomware malveillant qui avait infecté l'ordinateur d'un employé.
Les systèmes de santé constituent des cibles de choix pour la cybercriminalité en raison des précieuses données personnelles, financières et de santé qu’ils contiennent. Une enquête réalisée en 2023 auprès de professionnels des technologies de l’information et de la sécurité informatique dans le domaine de la santé a révélé que 88 % de leurs organisations avaient subi en moyenne 40 attaques au cours de l’année précédente.
Selon Hüseyin Tanriverdi, professeur associé de gestion de l'information, des risques et des opérations à Texas McCombs, l'une des principales vulnérabilités de ces établissements réside dans la complexité croissante de leurs systèmes informatiques. C'est le résultat de décennies de fusions et d'acquisitions qui ont donné naissance à des systèmes multihospitaliers de plus en plus vastes.
Après une fusion, les technologies et les processus de soins ne sont pas forcément standardisés. Le système de santé se retrouve alors très complexe, avec des systèmes informatiques différents, des processus de soins très différents et des structures de gouvernance disparates.
Hüseyin Tanriverdi, professeur associé de gestion de l'information, des risques et des opérations à Texas McCombs
Mais la complexité pourrait aussi apporter une solution à ces problèmes, selon lui. Avec les co-auteurs Juhee Kwon de la City University de Hong Kong et Ghiyoung Im de l'Université de Louisville, il affirme qu'une « bonne forme de complexité » peut améliorer la communication entre les différents systèmes, les processus de soins et les structures de gouvernance, les protégeant ainsi mieux contre les cyberincidents.
Complexe vs compliqué
À partir des données de 445 groupes multihospitaliers couvrant la période 2009-2017, l’équipe a examiné l’idée souvent répétée selon laquelle la complexité est l’ennemi de la sécurité.
Ils ont distingué deux concepts informatiques aux consonances similaires, mais qui sont essentiels au problème.
- Complication est un grand nombre d’éléments d’un système qui s’interconnectent et partagent des informations de manière structurée.
- Complexité Cela se produit lorsqu'un grand nombre d'éléments s'interconnectent et partagent des informations de manière non structurée, comme lors de l'intégration de systèmes après des fusions et des acquisitions.
Comme les systèmes complexes ont des structures, explique Tanriverdi, il est difficile mais possible de prédire et de contrôler ce qu'ils feront. Ce n'est pas possible pour les systèmes complexes, avec leurs connexions non structurées.
Tanriverdi a constaté que les systèmes de santé devenaient plus complexes et plus vulnérables. Les systèmes les plus complexes, qui comportent la plus grande variété de transferts de services de santé d'un hôpital à un autre, étaient 29 % plus susceptibles d'être victimes d'une violation que la moyenne.
Le problème, dit-il, est que de tels systèmes offrent davantage de points de transfert de données que les pirates informatiques peuvent attaquer, et davantage d’opportunités pour les utilisateurs humains de commettre des erreurs de sécurité.
Il a découvert des vulnérabilités similaires avec d’autres formes de complexité, notamment :
- De nombreux types différents de services médicaux traitent des données de santé.
- Décentraliser les décisions stratégiques vers les hôpitaux membres au lieu de les prendre au niveau central.
Définition de normes de données
Les chercheurs ont également proposé une solution : créer des plateformes de gouvernance des données à l’échelle de l’entreprise, telles que des entrepôts de données centralisés, pour gérer le partage des données entre divers systèmes. De telles plateformes permettraient de convertir des types de données différents en types communs, de structurer les flux de données et de normaliser les configurations de sécurité.
« Ils transformeraient un système complexe en un système compliqué », dit-il. En simplifiant le système, ils diminueraient encore son niveau de complexité.
Il a testé les effets de la création de telles plateformes sur la cybersécurité. Il a constaté que dans le système le plus complexe, elles réduiraient les violations jusqu'à 47 %.
La centralisation de la gouvernance des données réduit les possibilités d'intrusion des pirates informatiques, explique Tanriverdi. « Avec moins de points d'accès et des contrôles de cybersécurité simplifiés et renforcés, les parties non autorisées sont moins susceptibles d'obtenir un accès non autorisé aux données des patients. »
Il recommande également de compléter les contrôles techniques par des contrôles humains plus forts : former les utilisateurs aux pratiques de cybersécurité et mieux réglementer qui a accès aux différentes parties du système.
Tanriverdi reconnaît un paradoxe dans son approche. Investir dans une nouvelle couche technologique peut introduire plus de complexité informatique au début. Mais à long terme, c'est un bon type de complexité qui permet de maîtriser les types de complexité existants – et plus dangereux -.
« Les professionnels doivent accepter la complexité de l'informatique, à condition qu'elle permette de structurer des flux d'informations qui étaient auparavant ponctuels », affirme-t-il. « La technologie réduit les risques de cybersécurité si elle est bien organisée et bien gérée. »