Le 4 octobre 2023, le Département de la Santé et des Services sociaux des États-Unis (HHS) a dévoilé un nouvel ensemble d'Objectifs de Performance en Cybersécurité volontaires (CPG) spécifiquement adaptés au secteur de la santé et de la santé publique. Cette initiative répond à l'augmentation de la fréquence et de la gravité des attaques par rançon et d'autres menaces cybernétiques qui ont perturbé les opérations de santé et compromis des informations sensibles sur les patients ces dernières années.

Les CPG consistent en 10 objectifs spécifiques, classés en trois niveaux : Niveau 1 (essentiel), Niveau 2 (amélioré) et Niveau 3 (avancé). Les objectifs essentiels incluent des mesures de base telles que l'élaboration d'un plan de réponse aux incidents de cybersécurité, la mise en œuvre de l'authentification multifacteur et l'établissement d'un programme de gestion des risques. Les objectifs améliorés s'appuient sur ceux-ci avec des exigences comme la gestion des vulnérabilités et les protocoles de sécurité des e-mails, tandis que les objectifs avancés intègrent des pratiques plus sophistiquées telles que l'architecture de confiance zéro et la gestion des risques de la chaîne d'approvisionnement.

Le secrétaire du HHS, Xavier Becerra, a souligné l'urgence de ces mesures, déclarant : « Les cyberattaques contre notre système de santé ne menacent pas seulement les données : elles menacent des vies. Ces objectifs fournissent une feuille de route claire pour que les organisations de santé protègent les patients et renforcent l'infrastructure de santé de notre nation. » Le cadre a été développé par un effort collaboratif impliquant le Groupe de travail sur la cybersécurité du Conseil de coordination du secteur de la santé, l'Agence de cybersécurité et de sécurité des infrastructures (CISA) et d'autres entités fédérales.

Le contexte de fond met en lumière la vulnérabilité du secteur de la santé. Selon le HHS, les cyberattaques ont explosé, avec des incidents notables comme l'attaque par rançon contre Change Healthcare en 2023, qui a affecté des millions de patients et causé des perturbations massives dans la facturation. Les CPG sont conçus pour être évolutifs, permettant aux petites pratiques et aux grands hôpitaux d'adopter des mesures adaptées à leurs ressources.

Bien que volontaires, le HHS encourage leur adoption en les intégrant dans des attentes réglementaires plus larges et en fournissant une assistance technique. Aucune obligation immédiate n'a été annoncée, mais cette publication souligne une posture proactive face aux menaces persistantes. Les dirigeants du secteur de la santé ont accueilli favorablement les directives, un représentant d'association notant : « C'est une étape vitale vers un secteur plus résilient. » Les implications incluent des réductions potentielles des coûts de violation, estimés à des milliards annuellement, et une meilleure continuité des soins pendant les incidents cybernétiques.

Les objectifs sont disponibles sur le site web du HHS pour une mise en œuvre immédiate, avec un soutien continu promis via des ressources et une formation.