Le secteur de la santé aux États-Unis est devenu une cible de choix pour les cybercriminels. Face à cette menace grandissante, l’administration Biden intensifie ses efforts pour protéger les données médicales des Américains. Avec plus de 167 millions de dossiers compromis en 2023, l’urgence de la situation est évidente. Les nouvelles mesures envisagées promettent de transformer la manière dont les organisations de santé gèrent et sécurisent leurs données sensibles.
Une crise de cybersécurité dans la santé
Depuis 2019, les violations de données liées aux cyberattaques dans le secteur de la santé ont bondi de 89 %, selon le département américain de la Santé. Ces attaques visent des hôpitaux, des cliniques et des géants de l’assurance comme Ascension ou UnitedHealth, paralysant parfois leurs systèmes via des ransomwares ou subtilisant des données critiques.
Les informations médicales volées, telles que les diagnostics, traitements ou données d’assurance, sont particulièrement recherchées sur le dark web. Elles permettent non seulement de commettre des fraudes, mais aussi de faire pression sur les victimes en cas de divulgation de données sensibles, comme celles liées à la santé mentale ou aux maladies chroniques.
Les propositions de l’administration Biden
Pour endiguer cette crise, l’administration Biden propose une série de nouvelles règles sous l’égide de la loi HIPAA (Health Insurance Portability and Accountability Act). Ces règles entendent principalement moderniser la cybersécurité dans le secteur de la santé en s’appuyant sur trois axes principaux.
En premier lieu, toutes les données médicales, qu’elles soient stockées ou en transit, devront être cryptées à des normes élevées pour les rendre inaccessibles en cas de vol. Cette mesure constitue une réponse directe à l’exploitation massive des informations volées par des hackers.
En deuxième lieu, les établissements de santé devront subir des contrôles réguliers pour vérifier leur conformité aux normes de cybersécurité. Ces audits permettront d’identifier et de corriger rapidement les vulnérabilités.
Enfin, en dernier lieu, une attention particulière sera portée à la sensibilisation et à la formation des employés des établissements de santé, souvent considérés comme le maillon faible face aux attaques de phishing.
Un coût élevé pour un enjeu critique
Le coût de mise en œuvre de ces mesures est estimé à 9 milliards de dollars la première année. Ce chiffre inclut l’acquisition de technologies, la formation du personnel, ainsi que les frais liés aux audits.
Si ce montant peut sembler élevé, Anne Neuberger, conseillère adjointe à la sécurité nationale, rappelle d’après Reuters qu’il s’agit d’un investissement vital pour préserver la vie privée des citoyens. Elle souligne également que les conséquences économiques des cyberattaques, y compris les rançons et les pertes d’exploitation, coûtent chaque année plusieurs milliards de dollars au secteur de la santé.
Consultation publique et adoption progressive
Avant l’entrée en vigueur des nouvelles règles, une période de consultation publique de 60 jours permettra aux parties prenantes, notamment les prestataires de soins et les assureurs, de faire part de leurs retours. Cette approche vise à assurer une transition en douceur tout en tenant compte des spécificités du secteur.
Une fois adoptées, ces règles pourraient servir de modèle pour d’autres industries sensibles, comme les services financiers ou les infrastructures critiques.
Un tournant pour la cybersécurité dans la santé
Ces propositions interviennent dans un contexte de pressions croissantes sur les institutions de santé pour mieux protéger les données des patients. Les scandales liés aux violations de données, combinés à l’augmentation des litiges, ont renforcé les attentes des citoyens quant à la sécurisation de leurs informations personnelles.
De plus, avec l’essor des technologies connectées, comme les appareils médicaux intelligents ou les plateformes de télémédecine, le périmètre d’exposition aux cyberattaques ne cesse de s’élargir.
Enjeux internationaux et géopolitiques
La problématique de la cybersécurité dans la santé dépasse les frontières américaines. Des groupes cybercriminels étrangers, parfois soupçonnés d’agir pour le compte d’États-nations, figurent parmi les principaux auteurs de ces attaques.
En sécurisant son secteur de la santé, les États-Unis entendent également envoyer un signal fort à leurs adversaires potentiels, tout en renforçant leur résilience face aux menaces géopolitiques.
Si elles sont adoptées, les mesures proposées par l’administration Biden pourraient marquer un tournant pour la cybersécurité dans la santé. Elles témoignent d’une volonté politique de protéger les citoyens face aux défis numériques tout en modernisant un secteur essentiel.
Toutefois, leur succès dépendra de la capacité des parties prenantes à collaborer pour surmonter les obstacles financiers et opérationnels, garantissant ainsi la sécurité et la confidentialité des données médicales des Américains.
