Le verdict a été rendu concernant la plus importante cyberattaque au Canada : le système de soins de santé de Terre-Neuve a été la cible d’une attaque au rançongiciel perpétrée par le groupe international Hive. Le groupe Hive a volé les renseignements médicaux personnels de 60 000 Terre-Neuvien·ne·s et a déployé un rançongiciel qui a paralysé les activités de soins de santé de la province, lui coûtant 16 millions de dollars.
Bien que le FBI ait interrompu les opérations du groupe Hive en janvier dernier, la menace qui plane sur la population canadienne persiste. Les avancées réalisées en matière de cybersécurité afin qu’un autre incident tel que celui de Terre-Neuve ne se reproduise plus ont été insuffisantes, alors que la protection des données numériques des patient·e·s est essentielle à la protection de leur santé physique.
Les cybercriminel·le·s menacent la santé des patient·e·s lorsqu’ils·elles tentent d’accéder aux dossiers médicaux qui se trouvent désormais dans toute une gamme d’outils et d’appareils numériques destinés aux soins de santé. En l’absence de mesures de sécurité rigoureuses, ceux-ci sont à la merci des cybercriminel·le·s désireux·ses de les compromettre, portant ainsi atteinte à la réputation, aux finances ou au bien-être des patient·e·s. En outre, de nombreuses tactiques employées par les pirates informatiques, comme les rançongiciels, peuvent désactiver les appareils auxquels les travailleur·euse·s de la santé se fient pour fournir des soins.
Malheureusement, la cybercriminalité est une affaire commerciale. Les données sur les soins de santé sont plus précieuses pour les cybercriminel·le·s que les données financières et les numéros d’assurance sociale, les dossiers de santé électroniques se vendant environ dix fois plus cher que les renseignements relatifs aux cartes de crédit et cent fois plus cher que les numéros de sécurité sociale sur le Web clandestin.
La transformation numérique des soins de santé au Canada suit son cours, les établissements de soins de santé publics ayant davantage recours aux options de soins virtuels, à la technologie médicale accessible par Internet et aux plateformes tierces pour le partage d’informations telles que les résultats de tests avec les patient·e·s et d’autres professionnel·le·s de la santé. La transformation numérique des établissements de soins de santé a créé davantage de vecteurs d’attaque par lesquels les cybercriminel·le·s peuvent diffuser des maliciels nuisibles et des cybermenaces qui entraînent la violation et la perte des données sur les patient·e·s et la perturbation des activités essentielles.
D’une part, les technologies liées aux soins dans les hôpitaux sont distinctes de la technologie Internet habituelle. Alors qu’il est facile de télécharger ou de mettre à jour un logiciel sur un ordinateur qui n’a pas plus de quelques années, les appareils d’IRM et d’autres gros appareils de soins ont des cycles de vie pouvant atteindre plusieurs décennies. Leur capacité à rester à jour avec l’environnement en constante évolution de la technologie et de la cybermenace est faible, ce qui accroît davantage leur vulnérabilité.
D’autre part, les applications et les technologies privées qui tirent profit des données sur les soins de santé contribuent à renforcer le contexte de menace qui croît de manière exponentielle. La demande pour des soins à domicile étant plus forte, l’approche centrée sur les patient·e·s a vu l’apparition de nouveaux·elles acteur·rice·s· privé·e·s dans le secteur des soins de santé. Ceux·elles-ci gèrent des applications de santé, de bien-être et de remise en forme, de la technologie accessible dans le nuage, des services de données biométriques, de l’intelligence artificielle pour les soins de santé prédictifs, et bien plus encore. Tout en évoluant rapidement, ces technologies ouvrent également la chaîne d’approvisionnement des organisations qui interagiront avec vos données, nécessitant ainsi de sécuriser l’ensemble de la chaîne d’approvisionnement.
La dépendance croissante aux plateformes numériques pour les services de santé crée d’importantes vulnérabilités informatiques, formant un cercle vicieux : elle augmente le volume de données précieuses relatives à la santé qui attirent les cybercriminel·le·s et accroît le contexte de menace et ses vecteurs d’attaque.
Cette tendance se complique davantage lorsque les conséquences négatives d’une cyberattaque peuvent entraîner des dommages irréversibles et mortels à la santé humaine. Si nous ne parvenons pas à équilibrer les mesures rigoureuses de protection de la vie privée et de la sécurité pour l’ensemble des acteur·rice·s du système de santé numérique canadien, la fréquence et la gravité des atteintes à la protection des données et des cyberattaques contre les établissements de soins de santé ne feront qu’augmenter.
Il incombe aux dirigeant·e·s du secteur des soins de santé et de la technologie de faire de la sécurité une priorité, parallèlement à l’expansion des moyens numériques destinés à fournir des soins. Ceci comprend des fonds réservés aux boutiques de technologies de l’information du secteur des soins de santé, car des ressources limitées ont relégué la cybersécurité au bas de la liste des priorités, ce qui leur a coûté très cher. Alors que l’accord de financement sur dix ans entre les gouvernements fédéral et provinciaux annoncé récemment prend forme, les protections pour les données des patient·e·s doivent être au centre des préoccupations.
Toutefois, la responsabilité en matière de cybersécurité ne se limite pas à l’équipe informatique; l’ensemble du personnel en est responsable et les haut·e·s dirigeant·e·s en sont redevables, tant sur le plan éthique que juridique.
Les professionnel·le·s de la santé doivent accorder aux données des patient·e·s le même soin qu’ils·elles accordent à leur santé, en commençant par suivre régulièrement des formations en cybersécurité et par mettre en œuvre des solutions peu coûteuses et faciles à déployer.
Les données personnelles sont indissociables de la santé physique des Canadien·ne·s. Alors que le système de santé numérique prend de l’ampleur, il incombe à l’ensemble des acteur·rice·s se trouvant à l’intersection des soins de santé et de la technologie d’accorder la priorité à la confidentialité et à la sécurité. Nous ne pouvons pas nous permettre une nouvelle attaque à l’échelle de celle qui s’est produite à Terre-Neuve.
Byron Holland (MBA, ICD.D) est président et chef de la direction de CIRA, l’organisme national à but non lucratif mieux connu pour sa gestion du domaine .CA et pour l’élaboration de nouveaux services de cybersécurité, de registre et de DNS.
Byron est un expert de la gouvernance de l’Internet et un entrepreneur aguerri. Sous l’égide de Byron, CIRA est devenue un des principaux ccTLD au monde en gérant plus de 3 millions de domaines. Au cours de la dernière décennie, il a représenté CIRA à l’échelle internationale et occupé de nombreux postes de dirigeant au sein de l’ICANN. Il siège présentement sur le conseil d’administration de TORIX en plus d’être membre du comité des mises en candidature de l’ARIN. Il habite à Ottawa en compagnie de son épouse, de leurs deux fils et de Marley, leur berger australien.
Les opinions partagées sur ce blogue sont celles de Byron sur des enjeux qui touchent l’Internet et ne représentent pas nécessairement celles de l’entreprise.
