L’Advanced Research Projects Agency for Health (Arpa-H), une agence de soutien à la recherche au sein du ministère américain de la Santé et des Services sociaux, a déclaré aujourd’hui qu’elle lançait une initiative pour trouver et aider à financer le développement de technologies de cybersécurité qui peuvent spécifiquement améliorer défenses de l’infrastructure numérique dans les soins de santé aux États-Unis. Surnommé le projet Digital Health Security, également connu sous le nom de Digiheals, l’effort permettra aux chercheurs et aux technologues de soumettre des propositions à partir d’aujourd’hui jusqu’au 7 septembre pour des outils de cybersécurité spécifiquement adaptés aux systèmes de soins de santé, aux hôpitaux et cliniques, et aux appareils liés à la santé.
Depuis plus d’une décennie, les prestataires de soins de santé aux États-Unis et dans le monde sont en proie à des cyberattaques criminelles, en particulier des attaques de ransomwares, qui profitent du travail à enjeux élevés des établissements médicaux pour tenter d’extorquer de gros paiements. Les efforts déployés ces dernières années pour réprimer et dissuader les cybercriminels ont fait des progrès limités, mais des attaques contre les soins de santé se produisent encore régulièrement, perturbant les services vitaux et mettant les patients en danger.
L’agence de recherche Arpa-H de Health and Human Service ne se concentre pas spécifiquement sur l’innovation en matière de cybersécurité. L’agence a des programmes en cours, par exemple, pour stimuler les progrès dans le traitement de l’arthrose et l’imagerie médicale pour l’élimination du cancer. Mais le responsable du programme Digiheals et chercheur de longue date en sécurité, Andrew Carney, affirme qu’il est absolument nécessaire de faire des progrès sur les outils de défense numérique pour les soins de santé qui soient à la fois efficaces et utilisables pour les installations médicales dans la pratique.
« Nous recherchons des progrès rapides et prodigieux », a déclaré Carney à WIRED avant l’annonce. « Nous voulons nous assurer que l’impact que nous avons est significatif mais aussi équitablement réparti. Peu importe si nous développons un remède parfait qui rend un réseau complètement impénétrable si un hôpital rural ne peut pas l’adopter en raison d’un personnel informatique léger ou d’un budget de sécurité minimal ou inexistant.
Digiheals recherche des soumissions larges et diverses liées à la détection des vulnérabilités, au renforcement des logiciels et aux correctifs du système, ainsi qu’à l’expansion ou au développement de protocoles de sécurité. L’initiative acceptera les soumissions de n’importe qui, y compris les chercheurs universitaires et à but non lucratif ou l’industrie commerciale. Carney souligne qu’en fin de compte, l’objectif est de favoriser des solutions nouvelles et inventives, quelle que soit leur origine ou la catégorie à laquelle elles appartiennent.
« Nous cherchons à ratisser très rapidement un large filet », dit-il. « J’encourage les gens, même s’ils ont des idées qui ne correspondent pas exactement ou qui ne correspondent pas au calendrier de la sollicitation, à venir nous en parler. Nous ferons en sorte que le processus corresponde au mieux aux idées que nous recevrons. »
Carney souligne qu’il est particulièrement difficile d’étudier les conditions réelles de la cybersécurité dans les soins de santé, car le réseau de chaque fournisseur de soins de santé est composé d’un vaste patchwork de systèmes, de services et d’appareils qui varient considérablement. Et il n’y a aucune marge d’erreur à sonder les systèmes des institutions individuelles ou à tenter de les attaquer intentionnellement pour découvrir leurs faiblesses. Digiheals encourage donc également les chercheurs à faire des soumissions sur les types d’outils de sécurité qui ne fonctionnent pas dans les établissements de soins de santé et les raisons de ces échecs.
« Actuellement, les outils logiciels prêts à l’emploi ne parviennent pas à détecter les cybermenaces émergentes et à protéger nos installations médicales, ce qui entraîne un fossé technique que nous cherchons à combler avec cette initiative », a déclaré la directrice d’Arpa-H, Renee Wegrzyn, dans un communiqué. « Le projet Digiheals intervient alors que le système de santé américain a un besoin urgent de capacités de cybersécurité rigoureuses pour protéger la vie privée, la sécurité et la vie des patients. »
Après des années de cyberattaques dommageables contre les hôpitaux et de perturbations des soins aux patients, l’initiative Digiheals peut sembler trop petite, trop tardive. Plus tôt ce mois-ci, une attaque de ransomware contre le groupe médical Prospect Medical Holdings, qui opère dans le Connecticut, la Pennsylvanie, le Rhode Island et le sud de la Californie, a provoqué des perturbations dans plusieurs hôpitaux et cliniques du réseau. Le processus de récupération est en cours. Mais Arpa-H est une nouvelle agence lancée par l’administration Biden l’année dernière pour aider à résoudre un certain nombre de problèmes dans les soins de santé aux États-Unis qui sont massivement en retard pour l’investissement.
« Les soins de santé sont les plus difficiles des défis sous tous les angles », dit Carney. « Nous travaillons constamment à une capacité proche ou supérieure, et toute réduction de service peut avoir de réels dommages très rapidement. Mais nous avons la capacité d’avancer très vite sur les nouvelles défenses numériques, et il nous appartient de le faire. Il serait irresponsable de notre part de ne pas agir rapidement.
Cette histoire est apparue à l’origine sur filaire.com.