Les autorités sanitaires américaines appellent à une augmentation du financement et du soutien aux hôpitaux à la suite des cyberattaques qui ont détourné des ambulances

Le nouveau plan du HHS, communiqué en exclusivité à CNN mercredi, reconnaît que le statu quo des piratages qui perturbent régulièrement les soins de santé aux États-Unis est intenable et que les responsables fédéraux et les dirigeants d'hôpitaux doivent faire beaucoup plus pour lutter contre ce problème.

"Il s'agit d'une menace vraiment urgente", a déclaré Andrea Palm, secrétaire adjointe du ministère de la santé, à CNN, ajoutant que certains hôpitaux ruraux et d'autres établissements à court d'argent "ont vraiment besoin d'aide pour investir" dans la technologie et les pratiques de sécurité "afin de les aider à faire face" à la menace.

La publication de ce plan intervient après l'attaque par ransomware, le jour de Thanksgiving, du conglomérat de soins de santé Ardent Health Services, qui a contraint les hôpitaux du New Jersey au Nouveau-Mexique à détourner les ambulances des salles d'urgence. Au cours des seuls neuf derniers mois, d'autres cyberattaques ont entraîné le détournement des ambulances des hôpitaux du Connecticut, de Floride, d'Idaho et de Pennsylvanie.

Le plan du ministère de la santé et des services sociaux vise à fournir plus d'argent et de formation aux hôpitaux qui doivent encore mettre en place des protections de base en matière de cybersécurité afin d'empêcher les pirates d'accéder à leurs systèmes. Le ministère se dit également prêt à faire usage d'un certain nombre de pouvoirs, y compris l'imposition d'amendes, pour forcer et encourager les organismes de soins de santé à mieux sécuriser leurs systèmes. Des programmes fédéraux clés, tels que Medicare et Medicaid, serviront de vecteurs pour les nouvelles exigences de cybersécurité imposées aux hôpitaux, selon le plan.

Mais de nombreux détails importants doivent encore être réglés. Les responsables du HHS affirment qu'ils ont besoin d'une augmentation significative du financement du Congrès pour mettre en œuvre le plan, mais ils ont refusé de dire à CNN combien cela coûterait. Le succès du plan pourrait dépendre, du moins en partie, de l'efficacité et de l'applicabilité d'un ensemble de mesures de cybersécurité pour les prestataires de soins de santé, que les responsables du HHS sont encore en train d'élaborer avec des initiés du secteur. Le ministère devra également collaborer avec le Congrès afin d'augmenter les amendes en cas d'infraction à la protection des données de santé contre les pirates informatiques.

L'urgence du HHS vient du fait que les cyberattaques peuvent menacer la sécurité des patients. Une étude fédérale réalisée en 2021 a montré qu'une attaque par ransomware peut entraver les soins aux patients et peser sur les ressources d'un hôpital pendant des semaines, voire des mois.

Selon les experts, le manque d'argent et d'expertise pour faire face aux cyberattaques est un problème aigu pour les petits prestataires de soins de santé dans tout le pays. Joshua Corman, expert en cybersécurité spécialisé dans le secteur de la santé, a déclaré à CNN que de nombreux petits centres de soins ne disposaient pas d'une personne dédiée à la cybersécurité au sein de leur personnel.

Parmi les 16 secteurs que le gouvernement fédéral a désignés comme "infrastructures critiques", c'est le secteur de la santé qui a été le plus perturbé par les ransomwares, "avec plus de perturbations, des perturbations plus importantes, des perturbations plus longues, et les perturbations les plus dangereuses pour la sécurité des personnes", a déclaré M. Corman, qui a aidé à diriger un groupe de travail fédéral visant à protéger la recherche sur les coronavirus contre le piratage informatique.

Parfois, les hôpitaux ne se remettent jamais des incidents de piratage. Un hôpital de l'Illinois a été contraint de fermer ses portes en juin, en partie parce qu'une cyberattaque avait paralysé le service de facturation.

Historiquement, les politiques fédérales visant à traiter le problème "n'ont pas réussi à suivre le rythme de ces préjudices croissants, et c'est pourquoi des changements matériels, et non pas progressifs, sont nécessaires pour préserver la confiance et la sécurité du public", a déclaré M. Corman.

Au sein de l'administration Biden, les fonctionnaires s'inquiètent depuis longtemps du fait que les fournisseurs de logiciels continuent de vendre des produits non sécurisés que les pirates informatiques sont trop facilement en mesure d'exploiter.

"Tant que les gens n'écriront pas et ne déploieront pas un meilleur code, nous continuerons à construire des infrastructures critiques sur du fromage suisse", a déclaré à CNN un fonctionnaire américain qui travaille depuis longtemps sur la politique de cybersécurité dans le secteur de la santé. Ce fonctionnaire a parlé sous le couvert de l'anonymat car il n'était pas autorisé à parler à la presse.

Toutefois, les dirigeants d'hôpitaux sont de plus en plus conscients des cybermenaces depuis quelques années, et les autorités américaines affirment qu'un système plus solide a été mis en place pour avertir les établissements de soins de santé des menaces imminentes.

"Nous continuons à travailler avec les hôpitaux qui ont fait l'objet d'attaques et nous partageons les informations sur les piratages avec le secteur de la santé", a déclaré M. Palm, interrogé sur l'attaque du ransomware contre Ardent Health.

Les autorités sanitaires américaines appellent à une augmentation du financement et du soutien aux hôpitaux à la suite des cyberattaques qui ont détourné des ambulances