Une série de nouvelles exigences proposées par le bureau des libertés civiles du ministère américain de la Santé (HHS) pourrait mettre les organisations de santé au niveau des pratiques modernes de cybersécurité. La proposition, publiée vendredi dans le Federal Register, comprend des exigences en matière d'authentification à facteurs multiples, de cryptage des données et d'analyse de routine des vulnérabilités et des violations de sécurité. En outre, l'utilisation d'une protection anti-malware deviendrait obligatoire pour les systèmes traitant des informations sensibles, tout comme la segmentation des réseaux, la mise en place de contrôles séparés pour la sauvegarde et la restauration et des audits de conformité annuels.
Le HHS a également publié une fiche d'information contenant la proposition de mise à jour des règles de sécurité du Health Insurance Portability and Accountability Act de 1996 (HIPAA). Une période de 60 jours pour les commentaires du public devrait être ouverte prochainement. Lors d'une conférence de presse, Anne Neuberger, conseillère adjointe à la sécurité nationale pour les cybertechnologies et les technologies futures, a déclaré que la mise en œuvre du plan coûterait 9 milliards de dollars la première année et 6 milliards de dollars les quatre années suivantes, rapporte Reuters. Cette proposition intervient dans un contexte où la cybercriminalité à grande échelle a connu une nette augmentation ces dernières années. Rien que cette année, le secteur de la santé a subi plusieurs cyberattaques majeures, dont des piratages des systèmes d'Ascension et de UnitedHealth, qui ont entraîné des perturbations dans les hôpitaux, les cabinets médicaux et les pharmacies.
"Entre 2018 et 2023, les rapports sur les violations majeures de la protection des données ont augmenté de 102 % et le nombre de personnes touchées par ces violations a augmenté de 1002 %, principalement en raison de l'augmentation des attaques de pirates et de ransomwares", indique l'Office for Civil Rights. "En 2023, plus de 167 millions de personnes ont été touchées par des violations majeures de la protection des données, ce qui constitue un nouveau record".
