Central Oregon Pathology Consultants est en activité depuis près de 60 ans, proposant des tests moléculaires et d'autres services de diagnostic à l'est de la chaîne des Cascades.
Depuis l'hiver dernier, le cabinet a fonctionné pendant des mois sans être payé, survivant grâce à l'argent liquide dont il disposait, a déclaré Julie Tracewell, directrice du cabinet. Le cabinet est aux prises avec l'une des attaques numériques les plus importantes de l'histoire américaine : le piratage informatique du gestionnaire de paiements Change Healthcare en février.
La COPC a récemment appris que Change avait commencé à traiter certaines des demandes en suspens, qui s'élevaient à environ 20 000 en juillet, mais Tracewell ne sait pas lesquelles, a-t-elle déclaré. Le portail de paiement des patients reste en panne, ce qui signifie que les clients ne peuvent pas régler leurs comptes.
« Il faudra des mois pour pouvoir calculer la perte totale de ce temps d'arrêt », a-t-elle déclaré.
Le secteur de la santé est la cible la plus fréquente des attaques de ransomware : en 2023, selon le FBI, 249 d'entre elles ont ciblé des établissements de santé, soit le plus grand nombre de tous les secteurs.
Les responsables de la santé, les avocats et les membres du Congrès craignent que la réponse du gouvernement fédéral soit insuffisante, sous-financée et trop axée sur la protection des hôpitaux – alors même que le changement a prouvé que les faiblesses sont généralisées.
« L'approche actuelle du ministère de la Santé et des Services sociaux en matière de cybersécurité des soins de santé – autorégulation et meilleures pratiques volontaires – est terriblement inadéquate et a laissé le système de santé vulnérable aux criminels et aux pirates informatiques des gouvernements étrangers », a écrit le sénateur Ron Wyden (D-Ore.), président de la commission des finances du Sénat, dans une récente lettre adressée à l'agence.
L'argent n'est pas là, a déclaré Mark Montgomery, directeur principal du Centre sur l'innovation cybernétique et technologique de la Fondation pour la défense des démocraties. « Nous avons vu des efforts extrêmement progressifs, voire presque inexistants » pour investir davantage dans la sécurité, a-t-il déclaré.
La tâche est urgente : 2024 a été une année de piratages dans le secteur de la santé. Des centaines d’hôpitaux du Sud-Est ont vu leur capacité à obtenir du sang pour les transfusions perturbée après que l’association à but non lucratif OneBlood, un service de don, a été victime d’une attaque par ransomware.
Les cyberattaques compliquent les tâches banales comme complexes, a déclaré Nate Couture, responsable de la sécurité informatique du réseau de santé de l'Université du Vermont, qui a été frappé par une attaque de ransomware en 2020. « Nous ne pouvons pas mélanger un cocktail de chimiothérapie à l'œil nu », a-t-il déclaré, faisant référence aux traitements contre le cancer, lors d'un événement en juin à Washington, DC
En décembre, le HHS a présenté une stratégie de cybersécurité destinée à soutenir le secteur. Plusieurs propositions ont été ciblées sur les hôpitaux, notamment un programme de type « carotte et bâton » pour récompenser les prestataires qui adoptent certaines pratiques de sécurité « essentielles » et pénaliser ceux qui ne le font pas.
Même cette vision étroite pourrait prendre des années à se concrétiser : selon la proposition budgétaire du ministère, l'argent commencerait à affluer vers les hôpitaux « à besoins élevés » à partir de l'exercice 2027.
Iliana Peters, ancienne avocate chargée de l'application des lois au Bureau des droits civils du HHS, a déclaré dans une interview que l'accent mis sur les hôpitaux n'était « pas approprié ». « Le gouvernement fédéral doit aller plus loin » en investissant également dans les organisations qui fournissent et passent des contrats avec les prestataires, a-t-elle ajouté.
L'intérêt du ministère pour la protection de la santé et de la sécurité des patients « place les hôpitaux en tête de notre liste de partenaires prioritaires », a déclaré Brian Mazanec, directeur adjoint de l'Administration pour la préparation et la réponse stratégiques au HHS, dans une interview.
La responsabilité de la cybersécurité sanitaire du pays est partagée entre trois bureaux au sein de deux agences différentes. Le bureau des droits civiques du ministère de la Santé est une sorte de gendarme sur le terrain, qui surveille si les hôpitaux et autres groupes de santé disposent de défenses adéquates pour la confidentialité des patients et, dans le cas contraire, peut les sanctionner.
Le bureau de préparation du ministère de la Santé et l'Agence de cybersécurité et de sécurité des infrastructures du ministère de la Sécurité intérieure aident à mettre en place des défenses, par exemple en obligeant les développeurs de logiciels médicaux à utiliser une technologie d'audit pour vérifier leur sécurité.
Ces deux derniers sont tenus de créer une liste d'« entités d'importance systémique » dont les activités sont essentielles au bon fonctionnement du système de santé. Ces entités pourraient faire l'objet d'une attention particulière, par exemple en étant incluses dans les briefings gouvernementaux sur les menaces, a déclaré Josh Corman, cofondateur du groupe de défense des cyberattaques I Am The Cavalry, dans une interview.
Les responsables fédéraux travaillaient sur la liste lorsque la nouvelle du piratage de Change a éclaté – mais Change Healthcare n'y figurait pas, a déclaré Jen Easterly, responsable de l'agence de cybersécurité du ministère de la Sécurité intérieure, lors d'un événement en mars.
Nitin Natarajan, directeur adjoint de l'agence de cybersécurité, a déclaré à KFF Health News que la liste n'était qu'une ébauche. L'agence avait précédemment estimé qu'elle terminerait la liste des entités – dans tous les secteurs – en septembre dernier.
Le bureau de préparation du département de la Santé est censé coordonner ses efforts avec l'agence de cybersécurité du département de la Sécurité intérieure et avec l'ensemble du département de la Santé, mais les membres du personnel du Congrès ont déclaré que les efforts du bureau étaient insuffisants. Il existe des « silos d'excellence » au sein du HHS, « où les équipes ne se parlent pas, (où) on ne sait pas clairement à qui s'adresser », a déclaré Matt McMurray, chef de cabinet du représentant Robin Kelly (D-Ill.), lors d'une conférence en juin.
Le bureau de préparation du ministère de la Santé est-il « le bon endroit pour la cybersécurité ? Je n'en suis pas sûr », a-t-il déclaré.
Historiquement, le bureau se concentrait sur les catastrophes physiques : tremblements de terre, ouragans, attaques à l’anthrax, pandémies. Il a hérité de la cybersécurité lorsque les dirigeants du département de l’ère Trump ont cherché à obtenir plus d’argent et d’autorité, a déclaré Chris Meekins, qui a travaillé pour le bureau de préparation sous Trump et est maintenant analyste à la banque d’investissement Raymond James.
Mais depuis, a déclaré Meekins, l'agence a montré qu'elle n'était « pas qualifiée pour le faire. Il n'y a pas de financement, il n'y a pas d'engagement, il n'y a pas d'expertise ».
Le bureau de préparation ne compte qu'une « petite poignée » d'employés spécialisés dans la cybersécurité, a déclaré Annie Fixler, directrice du Centre d'innovation cybernétique et technologique du FDD. Mazanec reconnaît que ce nombre n'est pas élevé, mais espère que des fonds supplémentaires permettront d'embaucher davantage de personnes.
Le bureau a été lent à réagir aux commentaires extérieurs. Lorsqu'un centre d'échange d'informations sur les cybermenaces du secteur a essayé de se coordonner avec lui pour créer un processus de réponse aux incidents, « il a probablement fallu trois ans pour identifier quelqu'un disposé à soutenir » l'effort, a déclaré Jim Routh, alors président du conseil d'administration du groupe, Health Information Sharing and Analysis Center.
Lors de l'attaque NotPetya en 2017 — un piratage qui a causé des dommages majeurs aux hôpitaux et au fabricant de médicaments Merck — Health-ISAC a fini par diffuser elle-même des informations à ses membres, y compris la meilleure méthode pour contenir l'attaque, a déclaré Routh.
Les défenseurs de la cause des piratages de Change – qui seraient dus à l’absence d’authentification multifactorielle, une technologie très répandue sur les lieux de travail aux États-Unis – estiment que le HHS doit recourir à des mandats et des mesures incitatives pour inciter le secteur de la santé à adopter de meilleures mesures de protection. La stratégie du ministère, publiée en décembre, proposait une liste relativement restreinte d’objectifs pour le secteur de la santé, qui sont pour l’instant pour la plupart volontaires. L’agence « étudie » la possibilité de créer de « nouvelles normes applicables », a déclaré Mazanec.
Une grande partie de la stratégie du HHS devrait être mise en œuvre au cours des prochains mois. Le ministère a déjà demandé des fonds supplémentaires. Le bureau de préparation, par exemple, souhaite 12 millions de dollars supplémentaires pour la cybersécurité. Le bureau des droits civiques, dont le budget est stable et le personnel chargé de l'application des lois est en baisse, doit publier une mise à jour de ses règles de confidentialité et de sécurité.
« L'industrie dans son ensemble doit encore faire face à des défis importants », a déclaré Routh. « Je ne vois rien à l'horizon qui puisse nécessairement changer cela. »
Cet article a été reproduit à partir de khn.org, une salle de presse nationale qui produit un journalisme approfondi sur les questions de santé et qui est l'un des principaux programmes opérationnels de KFF – la source indépendante de recherche, de sondage et de journalisme sur les politiques de santé. |
Comment l’activité physique et l’alimentation impactent le sommeil des adolescents