Cliquez ici pour lire l’article publié en anglais dans Hospital news
L’année 2023 aura à nouveau été marquée par l’utilisation accrue des soins de santé numériques au Canada. Cependant, alors que l’on envisage avec optimisme comment l’essor de la santé virtuelle, de la télémédecine, des appareils portables et des dossiers de santé électroniques peut améliorer l’accès aux soins et aux résultats, on craint aussi de plus en plus le sinistre danger qui menace ce nouveau monde de la santé numérique : les cyber-attaques.
D’importants incidents de cybersécurité continuent de se produire dans le secteur des soins de santé partout au Canada. Il y a quelques mois à peine, cinq hôpitaux du sud-ouest de l’Ontario ont été victimes d’une cyberattaque affectant les courriels et les dossiers des patients, entraînant pour eux des retards et des annulations. En décembre 2022, l’hôpital SickKids a été frappé par le ransomware LockBit, entraînant des retards dans le traitement des patients. En octobre 2021, une attaque de ransomware à Terre-Neuve-et-Labrador a retardé des milliers de rendez-vous et d’interventions médicales, exposé des données sensibles et causé des dommages de 16 millions de dollars. Ce ne sont là que quelques exemples des récentes cyberattaques ayant affecté les soins de santé au Canada.
Les cybermenaces font partie des plus grandes craintes des responsables du secteur de la santé. Les données des patients prises en otage, les systèmes informatiques gelés dans les limbes et des milliers d’interventions annulées sont certains des pires scénarios qui leur viennent à l’esprit. SoinsSantéCAN prend très au sérieux les préoccupations de nos institutions membres et travaille depuis 2017 à l’élaboration de politiques, de recommandations d’action et d’outils pour aider les hôpitaux, les autorités sanitaires, les établissements de soins de santé et de recherche en santé à réduire le risque de cybermenaces.
Notre travail en matière de cybersécurité avec les dirigeants de la santé de tout le Canada a démontré que l’absence de normes de cybersécurité spécifiques aux soins de santé au Canada augmentait considérablement les risques pour les établissements de santé. Pour corriger cette situation, SoinsSantéCAN a pris les devants déterminant qu’une norme était nécessaire, puis a développé ce projet avec le concours du Conseil de gouvernance numérique et le soutien du Programme de coopération en matière de cybersécurité de Sécurité publique Canada.
Intitulée Cybersécurité : Cyber-résilience dans les soins de santé, la nouvelle norme nationale du Canada est le fruit d’une concertation avec le vaste réseau de dirigeant de la santé à travers le Canada membres de SoinsSantéCAN et l’important réseau d’experts en techniques numériques et informatiques du Conseil de gouvernance numérique. Des centaines de chefs de file, d’experts en cybersécurité, de dirigeants de la santé et d’intervenants ont apporté leur point de vue unique à la création de la norme à travers un processus d’élaboration de normes rigoureux.
La norme intègre des lignes directrices et des bonnes pratiques que les établissements de santé peuvent utiliser pour améliorer la cybersécurité au sein de leurs établissements. Des organismes de soins de santé et instituts de recherche aux cliniques médicales et fournisseurs de soins virtuels, la norme est conçue pour aider les organisations de l’ensemble du système de santé canadien à gérer les risques associés à l’utilisation des informations sur la santé et des technologies de l’information et à protéger leurs organisations contre la cybercriminalité.
Abordant un large éventail de sujets et de considérations, allant de la gestion des risques organisationnels, du leadership et de l’éducation à la réponse aux cyber-incidents et à la planification d’urgence, la norme fournit des conseils sur la façon d’identifier, d’évaluer et de gérer les cyber-risques dans les établissements de soins de santé du Canada.
Fondamentalement, la communication est la base d’un programme de cybersécurité efficace. Les responsables de la santé peuvent démontrer leur engagement envers la cybersécurité en veillant à ce que les politiques et les objectifs soient établis et alignés sur l’orientation stratégique de l’organisation.
Alors que la COVID-19 a mis sous tension les capacités des systèmes de santé, nous nous rappelons à quel point il est essentiel que nos infrastructures de santé soient résilientes en temps de crise. La confidentialité des données des patients et la disponibilité des dispositifs et traitements médicaux étant mis en jeu, la cyber-hygiène doit être considérée comme une composante fondamentale et essentielle de notre système de santé.
Cybersécurité : la cyber-résilience dans les soins de santé peut aider les responsables de la santé à gérer et à corriger les vulnérabilités de leur infrastructure numérique et à prévenir les cyberattaques. Un cadre clair et des capacités de cybersécurité améliorées protégeront mieux les organismes de soins de santé du Canada contre la cybercriminalité et leur permettront de répondre plus efficacement aux menaces changeantes et de défendre les infrastructures essentielles.
Bien qu’il soit impossible d’éliminer complètement les cybermenaces dans les soins de santé au Canada, SoinsSantéCAN et notre partenaire, le Conseil de gouvernance numérique, s’engagent à soutenir la diffusion et l’utilisation de la norme et nous encourageons tous les dirigeants de la santé à l’appliquer dans leurs établissements.
Nous continuerons également de partager les principales conclusions et leçons tirées de ce projet avec les dirigeants de la santé de partout au Canada afin de garantir à la population canadienne de pouvoir compter sur la résilience et la sécurité de son système de santé face aux cybermenaces.
La norme est disponible en anglais et en français sur les sites Web de SoinsSantéCAN et du Conseil de gouvernance numérique. (Les deux liens seront disponibles une fois mis en ligne le 29 novembre).
Paul-Émile Cloutier,
Président et chef de la direction
SoinsSantéCAN