La directive NIS 2 : un signal d'alarme pour les stratégies de restauration d'activité après

La directive NIS 2 est bien là et exige des stratégies de restauration d'activité après sinistre robustes pour les établissements de santé. Découvrez les risques accrus en matière de responsabilité, de sécurité des patients et pourquoi la résilience est désormais incontournable.

La directive NIS 2 est en cours d'adoption et aura des répercussions profondes dans de nombreux secteurs, notamment ceux que la norme désigne comme essentiels, à savoir l'énergie, les transports, la banque et les infrastructures critiques. Le secteur de la santé n'est pas en reste, et les attaques de ransomware contre les hôpitaux font régulièrement la une des journaux. Avec 309 incidents médicaux signalés dans l'UE en 2023, il est clair que les cybercriminels sont prêts à tout pour obtenir des informations personnelles identifiables (PII, Personally Identifiable Information) de valeur et d'autres données médicales.  

En plus des patients, on estime que 14,3 millions de personnes travaillent dans le secteur de la santé en Europe, et que leurs informations personnelles sont également menacées. Le non-respect de la directive NIS 2 peut entraîner des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel. Le défi commun que constitue la protection de ces données ? La résilience. Il ne suffit plus de se contenter de se défendre ; les établissements de santé doivent également être en mesure de restaurer les données et de rétablir leurs activités rapidement et efficacement. La combinaison de la protection et de la restauration après sinistre devient incontournable. 

La directive NIS 2 soulève des préoccupations spécifiques auxquelles les responsables des soins médicaux et les professionnels de l'informatique doivent répondre : 

1. Champ d'application et obligations élargis : la directive NIS 2 élargit considérablement le champ des entités considérées comme « essentielles » et « importantes ». Cela signifie que davantage de prestataires de soins médicaux et d'organisations connexes seront soumis à des exigences plus strictes, ce qui nécessitera un examen approfondi et une éventuelle refonte des mesures de cybersécurité et de résilience existantes. 
2. Responsabilité accrue : la directive NIS 2 renforce la responsabilité des organes de direction. Les dirigeants peuvent être tenus financièrement et même pénalement responsables des manquements, ce qui fait de la cybersécurité un risque majeur pour l'entreprise qui exige une attention immédiate et continue. 
3. Perturbations des activités et sécurité des patients : la directive met l’accent sur la continuité des activités, qui doit permettre de réduire au minimum les perturbations des services d'intégrité en cas d’incident de cybersécurité. Le non-respect de ces exigences peut directement mettre en danger la sécurité des patients, ce que les responsables des établissements de santé ne peuvent se permettre.
4. Vulnérabilités de la chaîne d'approvisionnement : la directive NIS 2 impose de prendre en compte les risques de sécurité liés à la chaîne d'approvisionnement. Les établissements de santé doivent évaluer de manière rigoureuse le niveau de cybersécurité de leurs fournisseurs et partenaires, ce qui est une tâche complexe compte tenu de l'interconnexion des systèmes dans ce secteur.
5. Exigences de reporting strictes : la directive NIS 2 impose des obligations de reporting strictes avec des délais très courts, notamment une notification des autorités dans les 24 heures suivant un incident. Les établissements de santé doivent disposer de processus internes robustes pour détecter, analyser et rapporter des incidents, afin d'éviter les sanctions et de maintenir la transparence. 

À cela s'ajoute le fait que le secteur de la santé est l'une des cibles les plus prisées des cyberattaques. Le pire, c’est que ces attaques causent des perturbations dans les soins aux patients et mettent des vies en danger.

La restauration après sinistre ne consiste pas seulement à restaurer des données, mais à garantir la continuité des soins aux patients. Une planification, une technologie et une exécution du plan de reprise d'activité après sinistre efficaces permettent aux établissements de santé ce qui suit : 

• Réduction des interruptions d'activité : le basculement rapide sur les réplicas des applications et des données dans le cloud après un incident permet de minimiser lesperturbations des services aux patients, garantissant aux médecins et infirmières une accessibilité aux systèmes essentiels au moment où ils en ont le plus besoin. 

• Protection des données des patients : le chiffrement sécurisé des réplicas des données et des applications est nécessaire pour protéger les informations sensibles des patients et garantir la conformité aux exigences de confidentialité de la directive NIS 2. 

• Maintien de l'intégrité opérationnelle : les plans complets de reprise d'activité après sinistre prennent en compte un large éventail de perturbations potentielles, des attaques de ransomware aux catastrophes naturelles, garantissant la capacité de l'organisation à fonctionner en cas de perturbation. 

• Investir dans des solutions de sauvegarde et de reprise d'activité après sinistre robustes : implémenter des solutions qui permettent de restaurer rapidement et de manière fiable les systèmes et données critiques. Opter pour des solutions dotées de fonctionnalités telles que la restauration en libre-service pour les télétravailleurs, qui peuvent ainsi reprendre leurs activités en ligne rapidement après un incident, sans l'intervention du service informatique. 

• Élaborer des plans d'intervention sur incidents détaillés : créer des plans complets qui décrivent les procédures d'intervention en situation de différents incidents informatiques, y compris les rôles et les responsabilités, les protocoles de communication et les étapes de restauration. 

• Améliorer la détection et la réponse : la détection et la réponse sur les terminaux (EDR) et la détection et la réponse étendues (XDR) avec détection basée sur les comportements sont désormais des obligations, car les menaces deviennent de plus en plus sophistiquées, en partie grâce à l'utilisation malveillante d'outils d'intelligence artificielle générative. 

• Effectuer des exercices et des tests réguliers : tester régulièrement les plans de reprise d'activité après sinistre pour identifier les failles et vous assurer que les procédures de restauration sont efficaces, notamment après un incident. 

• Adopter une approche de sécurité multicouche : implémenter une stratégie de défense en profondeur, alignée sur des référentiels tels que le NIST CSF 2.0 et les CIS (Critical Security Controls), pour bénéficier des bonnes pratiques du secteur et réduire la probabilité et l'impact des cyberattaques.  

La directive NIS 2, associée à la menace constante des cyberattaques et à des contraintes d'assurance strictes, exige une transformation de la manière dont les établissements de santé abordent la cybersécurité et la protection des données. La reprise d'activité après sinistre doit être un composant de la discussion sur la résilience des soins de santé pour que ces organisations garantissent la sécurité de leurs patients, dans le monde numérique comme sur un brancard. 

Renforcer la résilience dans le secteur de la santé avec Acronis Disaster Recovery. 

Acronis Cyber Protect intègre nativement des fonctionnalités de cyberprotection et de protection des données pour aider les organisations du secteur de la santé à atteindre le niveau de résilience requis à l'ère de la directive NIS 2. Grâce à sa solution primée de protection complète des données, Acronis offre aux établissements de santé une tranquillité d'esprit totale. Ils peuvent ainsi garantir la disponibilité, l'intégrité et la sécurité des applications et des précieuses données de santé, et les restaurer rapidement en cas d'incident.  

L'une des fonctionnalités particulièrement utiles pour les services informatiques du secteur de la santé est la fonction Acronis One-Click Recovery. Chaque fois où le temps est compté, la qualité des soins aux patients peut dépendre de la capacité d'une organisation médicale à rétablir ses activités, y compris pour les collaborateurs en télétravail. Acronis One-Click Recovery permet à n'importe quel collaborateur, quel que soit son niveau de compétence en informatique, de restaurer son PC professionnel à partir de la dernière sauvegarde.