Les cyberattaques métamorphosent le secteur de la santé américain, impactant désormais bien au-delà de l’informatique. Financer, opérations, et même les soins prodigués aux patients sont directement touchés, révèlent des données récentes. Une étude conjointe de KLAS et EY, intitulée « US Healthcare Cyber Resilience Survey », met en lumière une réalité préoccupante : 72 % des dirigeants interrogés rapportent des répercussions financières allant de modérées à graves, tandis que 59 % ont constaté une incidence clinique au cours des deux dernières années.
La pression est omniprésente. Phishing, violations par des tiers et logiciels malveillants figurent parmi les menaces les plus récurrentes. Le rapport indique que les organisations ont dû faire face, en moyenne, à cinq types de menaces distincts l’année passée. Face à ce constat, la gestion des identités et des accès (IAM) se positionne en tête des investissements prévus pour le prochain exercice fiscal, avec 68 % des dirigeants l’anticipant, suivie de près par la gestion des menaces et des vulnérabilités (64 %). La modernisation et les services managés complètent ce paysage d’investissements futurs.
Les systèmes de santé amorcent un virage stratégique, passant d’une posture purement défensive à une vision de la cybersécurité comme un levier essentiel de leur développement. Pas moins de 81 % des répondants estiment que la priorisation de la cybersécurité dans la stratégie globale de l’entreprise est déterminante pour surmonter les défis actuels. Cependant, un déficit de résilience subsiste : bien que 65 % des dirigeants se sentent outillés pour allouer les fonds nécessaires, la persistance d’incidents majeurs souligne un besoin criant d’alignement stratégique durable au plus haut niveau de direction.
Un dirigeant interrogé a d’ailleurs souligné la nécessité pour le RSSI (Responsable de la Sécurité des Systèmes d’Information) d’être un « partenaire d’opinion » impliqué en amont dans la planification commerciale, plutôt qu’un simple « gardien » intervenant en fin de parcours. Cette redéfinition du rôle permet de traduire les enjeux de cybersécurité en bénéfices tangibles : réduction des temps d’arrêt, amélioration de la sécurité des patients, et renforcement de la stabilité financière.
L’identité, pierre angulaire de la défense
À l’ère des identités non humaines et de l’intelligence artificielle agentique, la gestion des identités prend une importance capitale. Les cybercriminels exploitent de plus en plus les identifiants volés et les comptes surprovisionnés. En réponse, les dirigeants intensifient les contrôles sur le cycle de vie des comptes à privilèges, vérifient la propriété des identités non humaines et relèvent le niveau des exigences de vérification, particulièrement pour les portails patients et l’accès des médecins.
Le facteur humain demeure une vulnérabilité : un responsable de la cybersécurité a évoqué des « appels frauduleux de personnes se faisant passer pour des médecins », et plus récemment, des appels émanant de patients ayant oublié leurs identifiants de connexion au portail. Alors que les informations personnelles identifiables prolifèrent sur les marchés clandestins, la validation téléphonique traditionnelle perd de son efficacité. Parallèlement, l’exposition aux tiers représente une menace sérieuse : l’application des exigences de cybersécurité dans les contrats fournisseurs s’est avérée un défi majeur pour 68 % des répondants, et les préoccupations réglementaires concernant la sécurité des tiers ont été citées par 56 % d’entre eux.
De la conformité à la création de valeur
Les contraintes liées à la conformité sont lourdes, mais les dirigeants préviennent que les attaquants innovent plus rapidement que les réglementations n’évoluent. Cela maintient les fournisseurs prisonniers d’un modèle de « case à cocher », chronophage et n’entraînant pas une réduction proportionnelle des risques. Selon eux, les conseils d’administration et les régulateurs devraient privilégier une réduction des risques mesurée et clairement communiquée, intégrée à l’ensemble de l’entreprise.
Ce changement d’approche favorise l’innovation. La fonction cybersécurité contribue désormais de manière significative aux initiatives de l’entreprise, en sécurisant les flux de données essentiels aux soins virtuels, aux modèles de travail à domicile, aux dispositifs portables et à la documentation assistée par IA. L’investissement dans la cybersécurité devient ainsi un investissement dans la croissance.
Le manque de talents reste cependant une contrainte majeure, avec des postes vacants pouvant perdurer pendant des mois. Cela pousse les dirigeants à combiner les ressources internes, la formation croisée, l’automatisation et une approche stratégique du sourcing. Plus de la moitié des répondants (52 %) considèrent la formation et le perfectionnement comme un levier efficace pour faire face aux menaces actuelles.
Pour une résilience accrue, les recommandations sont claires : associer la sécurité à des résultats concrets tels que la sécurité des patients, la réduction des temps d’arrêt et la protection des revenus ; faire de l’identité la première ligne de défense en appliquant la gestion des accès, le principe du moindre privilège et des contrôles rigoureux du cycle de vie pour toutes les identités ; considérer les fournisseurs comme partie intégrante du périmètre de sécurité en rédigeant des clauses contractuelles contraignantes, en vérifiant continuellement leur posture de sécurité et en cartographiant les dépendances ; remplacer la démarche de « case à cocher » par une gouvernance basée sur les risques et des indicateurs compréhensibles par les dirigeants ; enfin, renforcer les capacités par la formation polyvalente, l’automatisation réfléchie et le recours à des partenaires spécialisés.
Le rapport conclut que la cybersécurité peut être un catalyseur pour l’adoption sécurisée de nouveaux modèles opérationnels, plutôt qu’un frein. Comme l’a souligné un dirigeant : « Mettre en œuvre l’IA et l’analytique sans prendre en compte la cybersécurité, c’est comme acheter une voiture sans ceinture de sécurité. »