Elaborer une stratégie de cybersécurité fondée sur une bonne connaissance des risques :
Pour élaborer une stratégie de gestion des risques touchant la cybersécurité, avoir une bonne connaissance des menaces auxquelles un organisme fait face est de mise. Il faut évaluer les menaces visant les actifs numériques de l’installation et déterminer les failles possibles dans la cybersécurité. Il est important que les organismes de santé établissent clairement leurs priorités en matière de cybersécurité et qu’ils déterminent les ressources dont ils auront besoin pour appuyer une transformation significative. Durant ce processus, il peut être judicieux de faire appel aux services d’experts.
Faire une surveillance active des systèmes
Lorsque des pirates informatiques s’introduisent dans le système d’un organisme, il est important d’être en mesure de détecter leurs mouvements et d’y réagir rapidement. Or, un grand nombre d’organismes de santé ne possèdent pas de système de surveillance interne adéquat. Les organismes devraient élaborer divers scénarios et revoir leurs procédures internes pour déterminer les alertes qui seront générées et les procédures qui seront suivies à la suite de telles alertes. Ces procédures pourront ensuite servir de guide durant une éventuelle atteinte à la sécurité. Ceux qui travailleront avec un tiers fournisseur voudront établir clairement quelles seront les données échangées avec ce dernier et gérer les risques à cet égard au moyen d’obligations contractuelles. Une bonne surveillance peut s’avérer être un moyen efficace de prévenir les dommages causés par une intrusion.
Sensibiliser le personnel à la cybersécurité
Les organismes de santé sont vulnérables aux attaques par hameçonnage ciblées. Lors de notre examen, plusieurs employés nous ont fourni leurs données d’identification par courriel, ce qui nous a permis d’accéder à leur réseau interne. Les organismes sont également exposés aux risques d’intrusion physique, c’est-à-dire lorsque des pirates informatiques s’introduisent sur les lieux de travail et branchent des appareils non autorisés pour obtenir un accès à distance aux systèmes internes. La sensibilisation à la sécurité est essentielle pour éviter que les employés ne succombent à des attaques sophistiquées ou ne laissent entrer des personnes non autorisées dans des endroits vulnérables. Il faut consacrer du temps et des ressources à la sensibilisation et à la formation des employés ainsi qu’à la surveillance de leurs activités. Les organismes devraient procéder régulièrement à de fausses attaques par hameçonnage et offrir ensuite la formation appropriée.
Déceler les vulnérabilités et améliorer la sécurité
Il faut déceler les vulnérabilités et les problèmes de configuration avant que les pirates ne puissent les exploiter. Tout d’abord, les organismes de santé devraient procéder régulièrement à des évaluations de la vulnérabilité, en plus de s’assurer que leurs systèmes sont aussi efficaces que possible. Par la suite, des tests d’intrusion aideront les installations à détecter une grande partie des failles dans leur environnement pouvant faire en sorte que les informations sensibles soient vulnérables. Un test d’intrusion aide à déterminer si un organisme a une réaction adéquate à l’égard des vulnérabilités et des problèmes de configuration. Il est donc important de réaliser une évaluation de la vulnérabilité avant d’entreprendre un test d’intrusion.
Obtenir l’appui des directions
Les cadres supérieurs doivent assumer la responsabilité de mettre en place des mesures de cyberrésilience et être le moteur d’une culture de gestion des risques de cybersécurité à tous les échelons. Dans tous les secteurs, 44 % des répondants à l’enquête Global State of Information Security 2018 de PwC ont indiqué que leur conseil d’administration s’affairait à établir les stratégies de leur entreprise en matière de sécurité. Il est important d’établir une stratégie en cascade pour gérer les risques touchant la cybersécurité et la protection des renseignements personnels au sein de tous les organismes de santé. Plusieurs parties sont touchées, et il est important que le conseil d’administration établisse le mandat, que la direction habilite ses équipes et que les équipes fassent un travail efficace. Les organismes les mieux sécurisés sont bien placés pour réussir lorsqu’ils peuvent compter sur une bonne gestion et sur un mandat adéquat établi par le conseil d’administration à l’égard de la cybersécurité.