Des experts nous préviennent que les systèmes provinciaux de ce secteur feront face à d’importants défis financiers après la COVID alors qu’ils s’efforcent de remonter la pente, et les services informatiques ne seront pas épargnés.
Cet article a à l’origine été publié en anglais dans The Globe and Mail le 15 décembre 2021.
En novembre dernier, les résidents de Terre-Neuve-et-Labrador ont été témoins de la paralysie complète de leur système de soins de santé après que la province a été frappée de ce qu’un expert décrit comme la plus importante cyberattaque de l’histoire du Canada. Cet événement arrive en même temps que les récents incidents de cybersécurité affectant les établissements de soins de santé de Toronto et de la région d’Ottawa. La cybersécurité est un problème qui va plus loin que le système de soins de santé : récemment, par exemple, le Québec a fermé près de 4 000 sites Web gouvernementaux après un risque d’attaque en ligne.
Ces attaques survenant conjointement ont provoqué une discussion nationale sur ce qui peut être fait pour protéger l’infrastructure essentielle sur laquelle, nous, en tant que Canadiens, comptons. Il est tentant de se tourner vers les technologies pour trouver une solution. Quels sont les services ou les applications qui peuvent empêcher de telles attaques de se produire de nouveau? Il s’agit d’importantes discussions qui doivent avoir lieu. Toutefois, en ce moment, la plus grande menace à la cybersécurité à laquelle sont confrontés les réseaux de santé canadiens est sans doute le sous-financement du système de soins de santé.
L’un des débats les plus persistants de notre pays touche la question suivante : comment corriger le système de soins de santé du Canada? Alors que la pandémie de la COVID-19 a su nous démontrer le courage des travailleurs de première ligne du milieu de la santé, elle a aussi révélé les fragilités de notre système surchargé.
Tout le monde sait que le virus a imposé une énorme pression sur nos établissements de santé. Il a grandement diminué notre capacité à prodiguer des services non urgents et a engendré un important retard lié aux interventions chirurgicales, tout en provoquant une hausse sans précédent des dépenses en soins de santé. Des experts nous préviennent que les systèmes provinciaux de ce secteur feront face à d’importants défis financiers après la COVID alors qu’ils s’efforcent de remonter la pente, et les services informatiques ne seront pas épargnés.
Au cours de la pandémie, les spécialistes des TI du domaine de la santé de l’ensemble du pays ont été confrontés à une pression accrue. Un récent sondage mené par mon organisation, l’Autorité canadienne pour les enregistrements Internet (CIRA), a révélé que plus d’un tiers (35 pour cent) des professionnels de la sécurité travaillant dans le secteur des municipalités, des universités, des écoles et des hôpitaux (MUEH) déclarent que le nombre de cyberattaques a augmenté pendant la pandémie.
Comme on le dit souvent dans le monde de la cybersécurité : le point faible de la cyberdéfense d’une organisation est ses employés. Hélas, les erreurs humaines représentent la grande majorité de l’ensemble des violations de données et des cyberincidents. Il suffit qu’un employé épuisé ouvre une pièce jointe suspicieuse et, tout d’un coup, une attaque au rançongiciel affaiblit les systèmes.
Le meilleur remède dans ce cas est l’éducation. Le personnel des organisations doit être formé pour être en mesure de repérer les cybermenaces potentielles afin d’éviter les attaques malveillantes qui exposent les données de nature délicate. Puis, pour donner des formations, il faut des ressources.
Malheureusement, les données provenant de notre sondage indiquent que les organisations telles que les hôpitaux font face à des défis en matière d’obtention de ressources lorsqu’il est question de cybersécurité.
Bien que nos recherches démontrent que la plupart des organisations du secteur MUEH proposent une forme quelconque de formation sur la sensibilisation à la cybersécurité aux employés, elles ne l’offrent pas souvent : 45 pour cent des répondants de ce secteur rapportent animer une telle formation une fois par an ou moins.
Pendant ce temps, la petite minorité qui déclare n’offrir aucune formation de ce genre mentionne ne pas avoir suffisamment de ressources humaines en informatique et penser que les formations sont trop dispendieuses comme principales raisons à cet effet.
Les méchants ont de la créativité à revendre, et les cybermenaces évoluent continuellement. Le personnel qui travaille dans des milieux de nature délicate comme celui de la santé a besoin de se faire rappeler constamment de demeurer vigilant pour reconnaître de potentielles cyberattaques.
De nombreux Canadiens se demandent ce que le gouvernement peut faire pour aider. Certains ont suggéré de rendre illégal le fait de payer les demandes des rançongiciels, mais les experts en matière de protection de la vie privée et de sécurité sont divisés sur la question.
Après tout, comme les attaques au rançongiciel sont un commerce, rejeter l’idée de payer semble une excellente idée aux premiers abords. Toutefois, la réalité est bien plus complexe. Un magasin de pneus local peut refuser de payer la rançon, effacer le contenu de son ordinateur et recommencer à partir d’une sauvegarde, menant à un effort des relations publiques pour justifier la décision aux clients.
Cependant, pour les organisations comme les hôpitaux, qui protègent une mine d’or de renseignements personnels très délicats, le raisonnement en va autrement. Refuser de s’acquitter d’une rançon risque d’entraîner la diffusion en ligne de données hautement confidentielles sur les patients ou les employés. Dans ce cas, un refus de payer pourrait causer des torts irréparables aux Canadiens. Toute loi interdisant le paiement de rançons devrait tenir compte de ces types de cas.
Bannir les paiements en cas d’attaque par rançongiciel n’est pas une panacée. Néanmoins, les gouvernements à l’échelle provinciale et fédérale peuvent jouer un rôle prépondérant dans la prévention de futures cyberattaques en consacrant un nouveau financement à la capacité en matière de cybersécurité des établissements de soins de santé. À l’heure actuelle, la meilleure chose que nous puissions faire pour contrer les futures attaques est de fournir aux services des TI du secteur des soins de santé du Canada les ressources dont ils ont besoin pour former le personnel et pour protéger les réseaux.
Comme le dit si bien ce vieil adage sur la santé : mieux vaut prévenir que guérir.
Byron Holland (MBA, ICD.D) est président et chef de la direction de CIRA, l’organisme national à but non lucratif mieux connu pour sa gestion du domaine .CA et pour l’élaboration de nouveaux services de cybersécurité, de registre et de DNS.
Byron est un expert de la gouvernance de l’Internet et un entrepreneur aguerri. Sous l’égide de Byron, CIRA est devenue un des principaux ccTLD au monde en gérant plus de 3 millions de domaines. Au cours de la dernière décennie, il a représenté CIRA à l’échelle internationale et occupé de nombreux postes de dirigeant au sein de l’ICANN. Il siège présentement sur le conseil d’administration de TORIX en plus d’être membre du comité des mises en candidature de l’ARIN. Il habite à Ottawa en compagnie de son épouse, de leurs deux fils et de Marley, leur berger australien.
Les opinions partagées sur ce blogue sont celles de Byron sur des enjeux qui touchent l’Internet et ne représentent pas nécessairement celles de l’entreprise.
