Experts en informatique : la débâcle du système de santé nécessite une action de la part des prestataires de soins
Une équipe de responsables des politiques de santé, de l’informatique médicale et de la cybersécurité a publié le 9 septembre un article dans la section Viewpoint de JAMA Médecine interne en ligne, en regardant ce que l’industrie pourrait tirer des leçons de la débâcle de Change Healthcare. « Leçons de cybersécurité tirées de l’attaque contre Change Healthcare », Haan T. Neprash, Ph.D., Christian Dameff, MD, et Jeffrey Tully, MD, examinent certains des éléments de ce qui s’est passé plus tôt cette année à Change Healthcare, et les mesures qui pourraient être prises à la suite de la catastrophe de la violation.
Les auteurs notent que « la récente attaque par ransomware contre le conglomérat technologique Change Healthcare pourrait annoncer une nouvelle ère de cybermenaces, dans laquelle les pirates informatiques ciblent des éléments clés de l’infrastructure des soins de santé plutôt que des HDO individuels [healthcare delivery organizations]. Change Healthcare (une filiale d’Optum Inc, une filiale de UnitedHealth Group) propose des services de gestion des revenus et du cycle de paiement. Lorsqu’une attaque de ransomware a désactivé bon nombre de leurs systèmes électroniques, des milliers de médecins (dont beaucoup ignoraient auparavant l’existence de l’entreprise) et d’hôpitaux à travers le pays se sont soudainement retrouvés dans l’incapacité de soumettre des demandes de remboursement et de recevoir un paiement. Selon certaines estimations, cela signifiait 100 millions de dollars par jour de revenus différés pour les soins aux patients pendant les plus de 3 semaines nécessaires pour restaurer les systèmes de Change Healthcare à pleine fonctionnalité. En conséquence, écrivent-ils, de nombreux HDO ont signalé des difficultés à acheter des fournitures, à payer le personnel et à couvrir d’autres dépenses. Au-delà du retard des revenus, l’attaque de Change Healthcare a également perturbé la capacité de nombreux HDO à vérifier la couverture d’assurance des patients, à demander une autorisation préalable, à échanger électroniquement des informations cliniques et à prescrire des médicaments par voie électronique.
De plus, notent-ils, une enquête menée par l’American Medical Association près de deux mois après l’attaque a révélé que 60 % des personnes interrogées signalaient des difficultés persistantes dans la vérification des informations d’assurance des patients et 86 % signalaient des perturbations persistantes dans le processus de soumission des demandes d’indemnisation.
Comme le soulignent les auteurs de l’article, « l’attaque de Change Healthcare laisse entrevoir l’existence d’un marché extrêmement consolidé et donc vulnérable pour les services d’infrastructure de soins de santé clés. Cette attaque en particulier a été si perturbatrice parce que Change Healthcare traite environ 15 milliards de transactions de soins de santé et touche un dossier de patient sur trois.6 En se basant uniquement sur la part de marché, il n’est pas surprenant que Change Healthcare ait représenté une cible attrayante pour les pirates informatiques. En outre, l’anatomie de l’entreprise, qui évolue au gré d’acquisitions, de fusions et de consolidations, peut avoir entraîné des risques supplémentaires, car les plateformes technologiques, les collections de logiciels et les réseaux disparates de chaque filiale individuelle sont intégrés dans un ensemble plus vaste. Après qu’une prétendue rançon de 22 millions de dollars a été versée à l’organisation revendiquant la responsabilité de l’attaque, les incitations pour les cybercriminels à cibler les services d’infrastructure de soins de santé semblent de plus en plus lucratives. »
Inévitablement, comme l’écrivent les articles de l’auteur, la catastrophe de Change Healthcare a attiré l’attention des régulateurs et des décideurs politiques, bien plus que toute autre violation de données de santé antérieure. Que faire ? Ils écrivent que « à mesure que les cybermenaces évoluent en sophistication, les mesures nécessaires pour les prévenir et s’y préparer évoluent également. Plus précisément, l’attaque de Change Healthcare suggère que les HDO feraient bien de répondre aux questions suivantes : Qui sont vos fournisseurs tiers critiques, vos intermédiaires financiers et vos dépendances en matière d’infrastructure ? S’engagent-ils dans des activités appropriées de prévention et de planification de la cybersécurité ? En cas d’indisponibilité de plusieurs semaines de tiers, comment minimiseriez-vous les effets sur la prestation des soins et la continuité des activités ? Bien que la découverte des réponses à ces questions soit en grande partie la responsabilité des professionnels de la sécurité de l’information et des gestionnaires des urgences, les médecins savent mieux que quiconque comment les flux de soins aux patients peuvent dépendre d’entités externes. Nous suggérons que les cliniciens travaillent main dans la main avec le personnel de sécurité de l’information pour élaborer et affiner les plans de réponse aux incidents de cybersécurité. En outre, nous suggérons que les HDO planifient les incidents cybernétiques au niveau régional, en reconnaissant le fait que les cyberattaques affectent les modèles de soins bien au-delà de l’entité qui subit l’attaque. »
En abordant l’ensemble des problèmes en jeu, les auteurs de l’article soulignent qu’une approche globale et collaborative sera nécessaire, les dirigeants des organisations de soins aux patients devant fortement améliorer leur approche de collaboration avec les fournisseurs tiers et les intermédiaires financiers pour identifier les faiblesses et les corriger de manière collaborative. En fin de compte, ils notent : « Si l’attaque de Change Healthcare est le premier exemple de perturbation à grande échelle d’une infrastructure de soins de santé essentielle, il est peu probable qu’elle soit la dernière. La consolidation du marché et la poussée vers l’interopérabilité vont de pair avec la prolifération des vulnérabilités en matière de cybersécurité. Notre capacité à prévenir, à nous préparer et à répondre aux incidents de cybersécurité dépendra de notre capacité à mieux comprendre les connexions cachées au sein de l’infrastructure clinique et à garder le doigt sur le pouls numérique de la médecine. »
Source link