Les programmes CMS et NIH ERM n’ont pas tenu compte des risques pour la sécurité nationale

  • FrançaisFrançais



  • Le centre clinique du National Institute of Health (NIH) à Bethesda, dans le Maryland. Un audit du BIG a révélé des failles de sécurité dans les programmes de gestion des risques d’entreprise (ERM) du NIH et du CMS. (Crédit : Duane Lempke, CC0, via Wikimedia Commons)

    Les politiques et procédures de gestion des risques d’entreprise des Centers for Medicare et Medicaid Services ne tiennent pas compte des risques de sécurité nationale. En conséquence, les programmes du CMS ne sont pas en mesure de garantir que ses contrôles de sécurité sont efficaces pour se défendre contre les adversaires étrangers et nationaux, selon un nouvel audit du Bureau de l’inspecteur général.

    Au lieu de cela, les politiques et procédures de CMS reposent sur les processus de gestion des risques d’entreprise (ERM) du ministère de la Santé et des Services sociaux, plutôt que sur ses propres exigences.

    Il s’agit du deuxième rapport négatif du BIG ce mois-ci, un audit précédent ayant révélé que CMS ne dispose pas de protocoles pour évaluer la cybersécurité des dispositifs médicaux en réseau dans les environnements hospitaliers.

    Le Congrès a demandé au BIG d’auditer les processus ERM de la CMS pour vérifier s’ils incluaient des étapes d’identification et d’évaluation des risques pour la sécurité nationale, après qu’un audit antérieur du BIG a déterminé que les risques étaient pris en compte pour les National Institutes of Health. Le même audit a révélé que le NIH n’avait pas non plus pris en compte les risques posés par les chercheurs principaux étrangers autorisés à accéder aux données génomiques américaines.

    Des audits précédents ont révélé que les politiques et procédures de sécurité concernant les dossiers de santé électroniques du NIH pouvaient potentiellement mettre en danger la sécurité, la confidentialité, l’intégrité et la disponibilité de ses données. Un autre examen du BIG a révélé des risques dans la façon dont le NIH partageait des données sensibles.

    Pendant ce temps, un audit de 2019 du HHS, du CMS, du NIH et de la Food and Drug Administration a jugé les programmes de sécurité de l’information des agences « non efficaces ».

    Le dernier audit a examiné les politiques et procédures de GRE et d’évaluation des risques de l’agence, ainsi que la documentation à l’appui de la gestion des risques. Le BIG a également interrogé des membres du personnel de CMS et HHS.

    Alors que le Bureau de la gestion et du budget exige des agences fédérales qu’elles élaborent chaque année des profils de risque complets comprenant l’identification et l’analyse de tous les risques internes et externes, le BIG a découvert que CMS n’avait pas généré de profil de risque d’agence dans le cadre de son programme ERM.

    Comme CMS s’appuyait sur les données HHS ERM, son profil de risque n’avait pas d’analyse détaillée des risques spécifiquement posés à CMS et à ses programmes.

    “Bien que certains programmes CMS aient accès aux informations personnelles et à d’autres données sensibles auxquelles les adversaires peuvent tenter d’accéder, les politiques et procédures CMS n’obligent pas les programmes à prendre en compte les risques de sécurité nationale, même si l’ONS avait conseillé à toutes les agences du HHS d’inclure CMS, que la sécurité nationale est un risque nouveau ou émergent », selon l’audit.

    “En n’évaluant pas les risques pour la sécurité nationale et en mettant en œuvre des contrôles d’atténuation, les programmes CMS et leurs données associées sont vulnérables aux menaces adverses étrangères et nationales”, a-t-il ajouté.

    Par exemple, le programme Clinical Laboratory Improvement Amendments (CLIA) de l’agence pourrait bénéficier de données d’évaluation détaillant les risques pour la sécurité nationale, car il supervise et réglemente environ 260 000 laboratoires d’essais non liés à la recherche aux États-Unis et dans le monde.

    Le BIG a recommandé à la CMS de mettre en œuvre un processus au sein de son processus ERM pour traiter les risques de sécurité nationale de tous ses programmes conformément aux règles de l’OMB, y compris les risques nouveaux ou émergents pour l’agence et ses programmes.

    CMS a accepté la recommandation et est actuellement en train d’établir son propre programme de gestion des risques d’entreprise, sur la base de sa participation antérieure et actuelle au processus HHS ERM. Le programme comprendra des étapes pour évaluer les risques de sécurité nationale à travers la CMS et les programmes pertinents.

    “En assurant un couplage étroit avec les priorités stratégiques de l’agence, cette capacité amplifiera les nombreuses activités de gestion des risques au niveau des composants déjà en cours dans une perspective d’entreprise”, a expliqué l’administratrice de CMS Chiquita Brooks-LaSure.

    “Une fois arrivés à maturité, ces programmes identifieront et surveilleront les menaces, évalueront les vulnérabilités des contrats CMS et atténueront l’impact potentiel de la perte d’informations sensibles ou restreintes ou des dommages aux infrastructures critiques par des initiés et des adversaires étrangers”, a-t-elle ajouté.

    Comme les règles d’interopérabilité du CMS sont entrées en vigueur le 1er juillet, les améliorations du programme de sécurité soutiendront certainement l’agence dans ses efforts pour accroître le partage de données entre les prestataires de soins de santé.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *