Lire l’article tel qu’il a été publié à l’origine dans l’Ottawa Citizen
Chirurgies reportées ou annulées, chimiothérapies manquées, outils de diagnostic hors d’usage, salles d’urgence réduites aux soins les plus élémentaires. C’est la réalité à laquelle sont aujourd’hui confrontés les soins de santé canadiens qui subissent des cyberattaques de plus en plus fréquentes et virulentes.Cela ne fera qu’empirer si nous n’agissons pas maintenant.
Cette semaine, le Centre canadien pour la cybersécurité a annoncé que 235 incidents liés à des rançongiciels ayant touché des victimes canadiennes ont eu lieu jusqu’à présent cette année, insistant sur le fait que la plupart des attaques ne sont pas signalées.
Les experts de la société de cybersécurité Emisoft ont observé jusqu’à 4 000 échantillons de rançongiciels provenant d’organisations canadiennes jusqu’à présent cette année.
En outre, au premier semestre 2021, les attaques par rançongiciel ont augmenté de 151% à l’échelle mondiale par rapport au premier semestre 2020 et les soins de santé se sont révélés être une cible de grande valeur pour les cybercriminels.
Les hôpitaux et les instituts de recherche en santé hébergent des données extrêmement précieuses. Les criminels savent qu’en bloquant l’accès à ces données – ou aux systèmes numériques de soins de santé, ils sont capables de causer assez de désagréments qui garantiront le paiement des rançons.
Ils savent que notre infrastructure informatique de soins de santé est ancienne et ne répond pas aux normes de sécurité actuelles.
Ils savent également que le système de santé canadien manque cruellement de ressources et que le personnel de santé surmené n’a ni le temps ni l’opportunité d’être formé en matière de cybersécurité. Les cybercriminels profitent donc à la fois de la situation présente et de la vulnérabilité du système.
Cependant, ce n’est pas une simple question de sécurité ; il s’agit aussi de protéger les patients. Les cyberattaques peuvent perturber les procédures et mettre en danger des vies, voler des données médicales personnelles et paralyser certains équipements tels que les moniteurs ou stimulateurs cardiaques et même des réseaux entiers de données en attendant le paiement des rançons.
On ne peut pas s’attendre à ce que notre système de santé continue à lutter seul contre le fléau croissant des cyberattaques. Le Canada doit mieux soutenir notre système de santé alors qu’il s’adapte aux besoins de plus en plus pressants en matière de sécurité.
Depuis le début de la pandémie, plus de 400 hôpitaux d’Amérique du Nord ont été paralysés par des cyberattaques. Comme dans de nombreux autres pays du monde, les cybercriminels prennent en otage des systèmes et des données et exigent en échange le paiement de rançons de plusieurs millions. La récente attaque contre le système de santé de Terre-Neuve-et-Labrador prouve qu’il est nécessaire et urgent de mettre en place une stratégie nationale en matière de cybersécurité.
Notre réponse nationale en matière de cybersécurité dans les soins de santé nécessitera plus de ressources que ce qu’un hôpital, un système de santé, une province ou un territoire peut apporter seul. Cela nécessite une réponse fédérale.
Dans un premier temps, le gouvernement fédéral doit augmenter les investissements financiers dans les soins de santé à un minimum de 0,6 % du produit intérieur brut (PIB) afin de s’aligner sur les homologues de l’Organisation de coopération et de développement économiques (OCDE). Cet investissement permettra aux hôpitaux et aux instituts de recherche en santé de moderniser les technologies existantes afin qu’elles soient mieux sécurisées et de s’équiper de systèmes à la pointe de la technologie. Cela offrira également au personnel de meilleures opportunités de formation en cybersécurité.
Deuxièmement, le gouvernement fédéral doit remédier à la pénurie de personnels de santé en mettant en œuvre une stratégie nationale de ressources humaines en santé (RHS). Cela aidera les hôpitaux, les organisations de soins de santé et les instituts de recherche en santé à attirer et à retenir les professionnels de la santé et de la technologie, ce qui leur permettra de gérer leurs infrastructures de santé numérique et de promouvoir des technologies innovantes en matière de santé.
Enfin, le gouvernement fédéral doit adopter une position plus agressive à l’échelle internationale, comme l’ont fait les États-Unis face aux attaques par rançongiciel.
La récente déclaration du gouvernement fédéral sur les attaques par rançongiciel est encourageante mais nous devons envoyer un message encore plus clair selon lequel les attaques numériques contre nos hôpitaux et nos systèmes de santé seront sanctionnées à toutes les échelles du gouvernement impliquant les compétences juridiques et militaires.
Sécuriser notre système de santé ne se fera pas en adoptant des approches défensives. Nous devons être prêts à réagir de manière offensive face aux menaces croissantes d’organisations criminelles internationales et d’États-nations qui ciblent les soins de santé canadiens.
Les gouvernements doivent travailler aussi vite que possible pour mieux comprendre le fonctionnement de chaque attaque et partager efficacement ces informations à travers le pays afin que tous puissent se protéger en temps réel contre les menaces en temps réel.
La sécurité de chaque Canadien est un enjeu national qui nécessite une approche nationale. Un leadership fédéral est maintenant nécessaire pour garder les données des patients et de la recherche hors de portée des cybercriminels.
Paul-Émile Cloutier est président et chef de la direction de SoinsSantéCAN, la voix nationale des établissements de santé et de recherche en santé au Canada.
David Shipley est PDG et cofondateur de Beauceron Security Inc., une entreprise de logiciels de cybersécurité basée au Nouveau-Brunswick dont les clients sont basés partout en Amérique du Nord, et comprennent des établissements de santé au Canada.