•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Les hôpitaux canadiens submergés par des cyberattaques alimentées par le marché noir

Un pirate informatique vu de dos interagit avec une interface médicale.

Le nombre de cyberattaques contre le système de santé canadien a bondi de 15 % de 2018 à 2019.

Photo : getty images/istockphoto / peshkov

CBC

Le système de santé canadien est assiégé par des pirates informatiques qui multiplient les cyberattaques visant à accéder aux données personnelles de la patientèle partout au pays, selon ce que rapporte CBC.

Des spécialistes en cybersécurité et des membres du personnel de la santé affirment que les hôpitaux et les cliniques sont présentement incapables de faire face à la menace grandissante que représentent ces attaques.

Plusieurs d’entre eux réclament la mise en place de standards nationaux et de l’argent du fédéral afin de lutter contre les brèches de sécurité qui affectent le système de santé au pays.

Ma plus grande déception en ce moment, c’est que tout ce qui a trait à la cybersécurité et au système de santé semble tomber entre les craques au niveau fédéral, a affirmé Paul-Émile Cloutier, PDG de SoinsSantéCAN, en entrevue avec CBC au début du mois de mars.

Cet organisme représente des hôpitaux, des centres de recherche médicale et des autorités régionales de la santé partout au pays.

Des attaques de plus en plus sophistiquées

De plus en plus d’établissements de santé ont été victimes de brèches de sécurité au cours de la dernière année. En décembre 2019, LifeLabs, un centre de diagnostic et de tests spécialisés, a entre autres été touché, exposant des informations sensibles de millions de personnes.

En octobre dernier, trois hôpitaux de l’Ontario ont été victimes d’attaques par des rançongiciels. Et cette année, l’organisme eHealth Saskatchewan, qui gère les dossiers médicaux de la province, a été compromis, alors qu’en Nouvelle-Écosse, des gens ont vu des informations relatives aux opérations qu’ils ont subies être exposées après une cyberattaque.

À la mi-mars, le Centre canadien pour la cybersécurité a émis une alerte (Nouvelle fenêtre) à propos du risque élevé de cybermenaces pesant sur les organismes de santé canadiens impliqués dans la réponse à la pandémie de COVID-19.

L’organisme gouvernemental expliquait que des gens malveillants disposant de moyens sophistiqués pourraient tenter de porter atteinte à la propriété intellectuelle (PI) des organismes qui prennent part aux activités de recherche et développement portant sur la COVID-19.

Ces pirates pourraient tirer avantage de la pandémie de COVID-19 en profitant de la pression qui est déjà exercée sur les organismes de santé canadiens pour exiger le paiement de rançons.

Des informations d’une grande valeur pour les pirates

Des spécialistes expliquent que les informations provenant du système de santé peuvent avoir une valeur bien plus élevée qu’une carte de crédit pour les pirates informatiques, parce qu’elles contiennent des données clés comme le numéro d’assurance-maladie ou la date de naissance des gens.

Ces informations ont une valeur unique, qui ne change pas avec le temps et qui peut aider des personnes mal intentionnées à voler l’identité de la patientèle.

Le marché pour les identités volées dans le système de santé est en plein essor, affirme Abigail Carter-Langford, vice-présidente de Canada Health Infoway, un organisme subventionné par Santé Canada qui vise à améliorer l’accès des Canadiens et Canadiennes aux technologies de santé numérique.

Andrew Nemirovsky, un directeur senior en gestion des données et en technologies de l’information pour la Régie de la santé de la Nouvelle-Écosse, abonde dans le même sens.

Selon lui, les informations d’une carte de crédit peuvent se vendre pour environ un dollar en ligne, alors que les données médicales d’une personne vivant aux États-Unis peuvent rapporter de 100 $ à 200 $, bien qu’il soupçonne qu’elles se vendraient moins chères au Canada, parce qu’elles contiennent moins d’informations de nature financière.

Un retard de 20 ans en matière de cybersécurité

Raheel Qureshi, cofondateur de la firme de cybersécurité iSecurity Consulting, affirme que le secteur de la santé est ciblé plus que toute autre industrie au pays. Son entreprise travaille de pair avec plus de 150 organismes de santé au Canada, incluant plusieurs grands hôpitaux.

Il affirme que 48 % de toutes les brèches de sécurité comptabilisées au Canada l’an dernier visaient le système de santé, qui a vu son nombre de cyberattaques grimper de 15 % de 2018 à 2019. Par exemple, pour un seul hôpital en octobre 2019, iSecurity a détecté pas moins de 3257 tentatives d’accès aux systèmes informatiques.

Selon Qureshi, le système de santé est en retard en matière de cybersécurité : Les banques ont commencé à se poser la question il y a déjà 15, 20 ans.

Les membres du personnel des technologies de l’information (TI) sont complètement dépassés, affirme de son côté David Shipley, PDG de Beauceron Security Inc., une entreprise de cybersécurité située à Fredericton, au Nouveau-Brunswick.

L’argent dépensé en santé va en priorité aux services de première ligne, et les dépenses liées aux TI sont limitées au strict minimum. Les criminels le savent et ils exploitent ce fait.

Vers des standards nationaux de sécurité minimale?

Pour régler le problème, certains spécialistes aimeraient que le gouvernement fédéral impose des standards nationaux qui forceraient les organismes de santé à mettre à jour leurs mesures de cybersécurité. Qureshi aimerait même que ces standards s’étendent à toutes les institutions de service public.

Paul-Émile Cloutier, de SoinsSantéCAN, pense que le gouvernement fédéral pourrait mettre de l’argent de côté spécifiquement pour aider ces organismes, mais il estime que cela pourrait coûter des milliards de dollars.

À la mi-mars, Maire-Pier Burelle, une porte-parole de Santé Canada, a affirmé dans un courriel que l’organisme avait pris des mesures pour s’attaquer au problème, en créant une division dédiée uniquement à la santé numérique, qui évalue la sécurité et l’efficacité des nouvelles technologies comme les appareils médicaux sans fil et les applications de santé pour téléphones mobiles.

Bien qu’il n’existe aucune loi fédérale obligeant les hôpitaux et les cliniques à respecter des standards spécifiques, Santé Canada a aidé à développer un guide qui fournit aux parties intéressées des recommandations en matière de cybersécurité, affirme Burelle.

Ce n’est toutefois pas tout le monde qui est vendu à l’idée d’un standard national.

Abigail Carter-Langford, de Canada Health Infoway, explique que puisque le paysage de la cybersécurité est en constante évolution, il serait difficile d’implanter des standards de sécurité minimale parce que ce qui est approprié aujourd’hui ne le sera peut-être plus demain.

La façon la plus lente de créer le changement, c’est souvent la loi. En tant qu’organisations, nous pouvons utiliser les outils et les systèmes dont nous disposons déjà pour faire mieux. En tant qu’individus et consommateurs, nous pouvons aussi faire de meilleurs choix qui vont favoriser le progrès, affirme-t-elle.

Avec les informations de David Burke, de CBC News

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !

Cybersécurité

Techno