Incidents de cybersécurité en santé : contrôle et protection de la réputation
Articles suggérés
Sur des sujets similaires
Il n'est pas surprenant que les organisations de soins de santé soient une cible privilégiée pour les pirates informatiques qui cherchent à exploiter les vulnérabilités et à s'emparer des précieuses données des patients. Rien qu'en 2022, plus de 340 incidents de compromission de données dans le secteur des soins de santé ont été recensés. Pour les organismes de santé, la question n'est pas tant de savoir « si « que « quand » et « quoi ». Et la question la plus importante après avoir reconnu le problème est souvent « que faire ensuite? ».
Pendant un certain temps, la discussion s'est concentrée sur la perception d'une faille dans la sécurité qui a conduit à l'incident en question. Aujourd'hui, la conversation porte moins sur la question que sur la réponse de l'organisation.
Les pirates informatiques perturbent notre vie quotidienne de diverses manières, mais il n'y a rien de plus personnel ou de plus urgent que les soins de santé. Cela signifie que les patients, leurs familles et leurs équipes soignantes peuvent manquer de patience ou ne pas comprendre qu'une organisation s'efforce silencieusement d'atténuer les dommages et de rétablir les opérations.
Que peut faire une organisation?
Avant
Prévoyez le pire - espérez le meilleur. Lorsque vous recevrez cet appel à minuit un dimanche vous informant que votre organisation est victime d'un incident de cybersécurité, vous vous féliciterez d'avoir mis en place un cahier des charges définissant les rôles, les responsabilités et les mesures à prendre. Le fait de demander à votre conseiller juridique d'examiner et d'approuver votre plan élimine une partie des allers-retours et favorise une communication plus intelligente et plus souple qui renforce la confiance des parties prenantes internes et externes. Chaque situation est différente, mais la planification de scénarios et le perfectionnement peuvent vous permettre de faire 90 % du chemin.
Durant
Vous avez mis en place votre plan, mais quelles sont les caractéristiques d'une intervention réussie? Il s'agit avant tout de faire preuve d'empathie et d'inspirer confiance. Les équipes juridiques et les assureurs peuvent être le malheur de tout communicateur lors d'un incident de cybersécurité (même si nous apprécions le fait qu'ils nous évitent des ennuis!) Souvent, nous ne pouvons pas dire beaucoup de choses parce qu'il s'agit d'une négociation ou d'une enquête en cours, mais cela ne signifie pas que nous devrions garder le silence radio pendant que les patients et les employés spéculent sur la raison pour laquelle certains systèmes sont en panne. Que pouvez-vous faire? Au minimum :
- Communiquer l'impact sur les opérations aux responsables de première ligne et mettre en œuvre votre plan de contournement pour maintenir l'accessibilité des soins ;
- publier des informations là où les parties prenantes chercheront des réponses, comme une bannière de notification sur le site Web, qui reconnaît l'impact et promet de tenir les parties prenantes au courant dès que vous serez en mesure de partager plus d'informations ;
- équiper les centres d'appel d'une déclaration et d'une foire aux questions.
Partagez des informations sur ce qui s'est passé et sur la date à laquelle les systèmes seront rétablis dès que vous le pouvez. Même les miettes d'informations contribuent à instaurer la confiance.
Après
Les communicateurs ne peuvent pas toujours contrôler entièrement la façon dont leur organisation est en mesure de réagir dans les premières phases d'un incident de cybersécurité – même si le fait de préparer le terrain avec un plan solide permet d'influencer ce qui peut être fait. La véritable opportunité de consolider la réputation se présente dans les mois qui suivent l'incident. Nous recommandons aux organisations de commencer par trois étapes clés :
- Éclaircir la situation – Faire participer les dirigeants à des forums contrôlés pour discuter de ce qui s'est passé. Les articles d'opinion, les articles de blog et les réunions individuelles avec les parties prenantes donnent aux dirigeants l'occasion de dire ce qui ne pouvait pas être dit au milieu de l'incident de cybersécurité et d'expliquer pourquoi ils ont dû prendre certaines mesures.
- Changer le récit – La cadence de développement du contenu reprend rapidement, il faut donc se concentrer sur la narration positive. Les histoires humaines édifiantes créent un récit positif qui a peu de chances d'inclure le problème de cybersécurité - ce type de contenu joue un rôle essentiel dans l'amélioration des résultats de recherche en ligne.
- Contextualiser le problème – Profitez de l'incident pour appeler à une solution nationale et contribuer à résoudre le problème dans l'ensemble du secteur. Agir en tant que ressource pour aider les autres victimes.
Un incident de cybersécurité dans le secteur de la santé comporte de nombreuses inconnues. Et bien qu'ils se présentent sous différentes formes (rançongiciels, hameçonnage, violations de données, etc.), un engagement à se préparer et une stratégie de communication approuvée donneront à votre organisation le contrôle dont elle a besoin pour en sortir plus forte.
*Cet article a été initialement publié par notre société sœur Padilla.
——— Mariah Schippel est chargée de comptes principale chez Padilla, société sœur du Cabinet de relations publiques NATIONAL