La pandémie de COVID-19 a entraîné une augmentation bien accueillie des soins virtuels à la grandeur du Canada, mais avec un effet secondaire regrettable : le secteur des soins de santé est maintenant encore plus vulnérable aux menaces de cybersécurité. Récemment, les services de renseignements sur la cybersécurité du Royaume-Uni, des États-Unis et du Canada ont désigné les services de renseignements de la Russie comme étant responsables du ciblage d’organisations menant des recherches sur des vaccins. Toutes les agences nationales de cybersécurité continuent de lancer des signaux d’alarme en indiquant que les renseignements liés à la pandémie constituent une cible prioritaire. SoinsSantéCAN a examiné les incidences pour ses membres en vue de leur fournir une feuille de route qui peut atténuer ce risque émergent et de déterminer les prochaines étapes cruciales.
La pandémie de COVID-19 a changé le monde tel que nous le connaissons. Elle a entraîné une expansion massive des soins primaires virtuels dans tout le Canada1 et plus de la moitié des visites des patients chez les prestataires de soins de santé se sont déroulées sous forme virtuelle2. L’Association médicale canadienne a récemment publié les résultats d’un sondage qui révèle que parmi les 1 800 Canadiens interviewés, 91 % ont déclaré être satisfaits des services de soins virtuels et 42 % préféreraient continuer à y recourir3 une fois la crise pandémique passée.
SoinsSantéCAN a effectué un sondage auprès de ses membres en avril 2020 pour connaître leurs besoins immédiats concernant les soins virtuels pendant la pandémie de COVID-19. Leurs réponses ont souligné l’importance d’accroître les structures de soutien. Ils ont cerné plusieurs lacunes et ont notamment suggéré :
Alors que les services de soins virtuels continuent d’augmenter au sein de notre système de santé, les organisations de soins de santé doivent améliorer leurs capacités de cybersécurité. Il est également crucial que le secteur des soins de santé réalise que la cybersécurité n’est pas seulement une question de TI. Une intrusion dans les installations de soins de santé peut avoir des incidences sur l’intégrité, la confidentialité et la disponibilité de renseignements vitaux (p. ex., les dossiers des patients, les rendez-vous, les horaires de garde des médecins, la réservation des salles d’opération, etc.), ce qui fait de la sécurisation des infrastructures essentielles une question d’affaires urgente.
Les prestataires de soins de santé ont accès à d’énormes quantités de données sensibles qui sont attrayantes pour les acteurs malicieux. Parmi les cyberattaques les plus courantes, mentionnons :
SoinsSantéCAN reconnaît l’importance de promouvoir la résilience des infrastructures essentielles et la cybersécurité. La pandémie a entraîné une augmentation soudaine du nombre de personnes qui travaillent à distance, sans avoir le filet de sécurité des TI de leur organisation (p. ex, infrastructures, pare-feu, politiques, etc.), ce qui rend encore plus probables les risques de violation de la cybersécurité. Le secteur des soins de santé est confronté aux défis additionnels liés à l’utilisation de technologies anciennes, au manque de financement et de ressources et au manque de directives et de soutien des pouvoirs publics et du secteur. Nous collaborons avec plusieurs organisations pour nous tenir au courant de la situation actuelle et atténuer les risques pour nos membres.
En 2019, avec notre membre Eastern Health de Terre-Neuve-et-Labrador et notre partenaire, la Fondation Canada-Israël pour la recherche et le développement industriel (FCIRDI), nous avons organisé l’Échange Canada-Israël sur la cybersécurité en santé à St. John’s. L’Échange a été créé comme outil pour atténuer les lacunes en cybersécurité en renforçant la collaboration entre des experts techniques israéliens, des partenaires de l’innovation canadiens (p. ex., Telus, Becton, Dickson and Company, communément appelée BD, ou GE Santé), des leaders du système de santé et des gouvernements provinciaux et territoriaux. Le programme de l’événement était axé sur deux objectifs :
L’Échange a mis en lumière nombre de nos vulnérabilités en matière de cybersécurité et certains experts ont souligné que si l’investissement optimal en cybersécurité se situe entre 9 et 14 % de tout le budget de TI, l’investissement réel se situe en moyenne à près de 6 %. Les experts ont également souligné que sur la scène mondiale, la croissance du nombre et des coûts des cyberattaques est importante et ne cesse d’augmenter. Parmi les secteurs d’activité visés, les soins de santé se classent constamment aux premier, deuxième ou troisième rangs sur le plan du volume d’attaques. Le coût global des attaques augmente dans les deux chiffres chaque année. Mais le budget de sécurité des établissements a eu tendance à rester le mêmeDonnées provenant d’un expert lors de l’Échange Canada-Israël sur la cybersécurité en santé..
Nous représentons le secteur de la santé au Forum national intersectoriel sur les infrastructures essentielles (FNIIE). Dans le cadre de ce forum, nous travaillons au maintien d’une approche canadienne exhaustive et collaborative aux infrastructures essentielles en fournissant un mécanisme directeur pour la discussion et l’échange d’information au sein des gouvernements fédéral, provinciaux et territoriaux et des secteurs des infrastructures essentielles et entre eux.
Nous collaborons également étroitement avec le Centre canadien pour la cybersécurité (CCC) pour rester au courant des menaces actuelles en matière de cybersécurité et nous participons à un appel hebdomadaire sur la COVID-19 avec des organisations pancanadiennes de la santé. Le CCC prévient que les tentatives de pénétration du réseau (hameçonnage, piratage, pulvérisation des mots de passe, etc.) sont en hausse. Il prévient également que des criminels pourraient profiter de la pression accrue exercée sur les organisations canadiennes de la santé en réponse à la pandémie pour obtenir des paiements de rançons ou dissimuler d’autres compromis. Pour témoigner de la rapidité avec laquelle les cybercriminels tirent parti d’une situation qui évolue rapidement, le CCC souligne que lorsque le gouvernement fédéral canadien a annoncé l’introduction d’une application de traçage de contacts, le CCC a presque immédiatement identifié un rançongiciel « CryCrypter » se faisant passer pour la prétendue application.
En mai 2020, le CCCS a indiqué qu’il avait reçu de l’information de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis et du National Cyber Security Centre (NCSC) du Royaume-Uni concernant les efforts continus des groupes de menace persistante avancée (APT) pour cibler les organisations impliquées dans la réponse à COVID-19. Le CCC a évalué que des acteurs de menaces sophistiquées peuvent tenter de voler la propriété intellectuelle d’organismes engagés dans la recherche et le développement liés à COVID-19, ou des données sensibles liées à la réponse du Canada à COVID-19. La menace ciblait notamment la recherche et le développement de vaccins et de médicaments par des sociétés pharmaceutiques et la collecte d’informations personnelles en vrac auprès d’organismes de soins de santé. Dans un développement stupéfiant, le groupe APT29 a récemment été relié aux agences de renseignement russes. Ce groupe a déjà été reconnu responsable du piratage de partis politiques aux États-Unis et en Norvège. Ses membres utilisent diverses tactiques telles que l’hameçonnage et l’exploitation des failles des logiciels, mais ils savent s’adapter très rapidement, ce qui rend la vigilance en matière de cybersécurité d’autant plus importante5.
SoinsSantéCAN plaide en faveur d’une meilleure sensibilisation et d’une attention accrue aux lacunes en matière de cybersécurité dans les soins de santé, tant auprès de ses membres que dans le cadre de ses solides relations de travail avec Sécurité publique Canada, Santé Canada et l’Agence de la santé publique du Canada. Nous nous efforçons également de fournir de l’information et de partager les meilleures pratiques de renforcement de la cybersécurité dans le secteur de la santé. Pour améliorer la protection des renseignements sensibles et privés et fournir les services essentiels exempts de cyberattaques, nous devons de toute urgence :
SoinsSantéCAN continue de suivre étroitement cette menace pour notre secteur qui évolue rapidement et a formulé des questions clés que devraient se poser les organisations de soins de santé comme point de départ des discussions sur la cybersécurité avec leurs équipes de cadres supérieurs :
PUBLIÉ
le 3 août 2020
POUR PLUS D’INFORMATIONS
Siri Chunduri
Analyse des politiques et de la recherche
schunduri@healthcarecan.ca
Jonathan Mitchell
Vice-président, Recherche et politiques
jmitchell@healthcarecan.ca