Le plus grand obstacle à l’amélioration de la cybersécurité des hôpitaux canadiens est le « manque d’attention » de la direction et le manque d’argent, déclare le responsable du gestionnaire canadien des noms de domaine .ca.
Bryon Holland, président-directeur général de l’Autorité canadienne pour les enregistrements Internet (CIRA), a déclaré mardi lors d’un webinaire du Globe and Mail sur la cybersécurité dans le secteur de la santé qu’un peu moins de 30 % de toutes les organisations de ce pays ont subi une violation de données.
« Si un tiers des maisons étaient cambriolées, ou si un tiers des entreprises et des hôpitaux étaient [physiquement] victimes de crimes, il y aurait un tollé incroyable« , a-t-il soutenu.
Mais dans le monde numérique, les gens ne voient pas l’impact, donc il y a peu de soutien pour plus de ressources. Les DSI et les professionnels de l’informatique du secteur de la santé expliquent au CIRA que la principale raison pour laquelle les hôpitaux ont du mal à lutter contre les cyberattaques est le « manque d’attention et d’argent » pour mettre en place des systèmes et des technologies pour faire face au volume d’attaques, a déclaré Holland.
Les directions d’hôpital ont besoin « d’une mise à niveau de l’état d’esprit », a-t-il affirmé. La cybersécurité « est un problème exécutif. Il s’agit d’un problème de PDG, de conseil d’administration, car il existe un risque de responsabilité et de fiduciaire au sommet de l’organisation ».
Ils doivent comprendre que la solution est de prendre au sérieux la sécurité holistique, qu’il s’agisse de l’installation d’une défense multicouche en profondeur, de pare-feu DNS renforcés, d’une authentification multifacteur et d’un contrôle d’accès. Ceux-ci, a-t-il dit, sont des « enjeux majeurs ».
Mais il a également déclaré que la cybersécurité « “n’est pas seulement le problème des informaticiens ».
En fait, il a affirmé que « la plupart des incidents qui se produisent actuellement sont dus au fait que des personnes sont compromises, et non à un pare-feu ou à une technologie » C’est pourquoi une formation de sensibilisation à la cybersécurité est également importante, a-t-il déclaré.
Les membres du panel comprenaient Jeff Curtis, responsable de la protection de la vie privée au Sunnybrook Health Sciences Centre de Toronto ; Steven Tam, responsable de la gouvernance des données et de la confidentialité au Vancouver Coastal Health , qui supervise tous les hôpitaux de la région de Vancouver ; et Hudda Idrees, PDG de Dot Health, un fournisseur de solutions de soins de santé mobiles pour les particuliers et les prestataires de soins de santé.
Les hôpitaux et les cliniques sont depuis longtemps la cible de pirates qui pensent que ces institutions sont plus disposées que d’autres à payer pour la restitution des données volées. Les hôpitaux et les cliniques à but lucratif sont considérés comme une source d’informations sur les cartes de crédit et de débit en plus des données médicales sensibles sur les patients. Les hôpitaux à but non lucratif n’ont souvent pas l’argent pour faire de la cybersécurité une priorité.
Les hôpitaux au Canada récemment touchés comprennent l’Hôpital pour enfants malades de Toronto et l’Hôpital Ross Memorial de Lindsay, en Ontario . Aux États-Unis, où les chaînes d’hôpitaux à but lucratif desservent des millions de personnes, Regal Medical Group, basé en Californie, envoie des avis de violation de données à plus de trois millions de patients après avoir subi une attaque de rançongiciel à la fin de l’année dernière.
L’une des pires attaques au Canada a eu lieu à Terre-Neuve-et-Labrador en 2021, lorsque des attaquants ont copié des années de données sur les patients et les employés du système provincial .
Les hôpitaux ne sont pas les seuls établissements de santé touchés. En 2019, des pirates ont accédé aux résultats de laboratoire médical de 15 millions de Canadiens lorsque LifeLabs, le plus grand laboratoire médical du pays au service des médecins, a été piraté. Les commissaires à la protection de la vie privée de l’Ontario et de la Colombie-Britannique ont déclaré que l’entreprise n’avait pas respecté les lois provinciales sur la protection des données en matière de santé.
Malgré des milliards de dollars de dépenses annuelles en soins de santé au Canada, « le financement de la cybersécurité devient de plus en plus rare », a déclaré Holland au panel.
Il a obtenu le soutien d’Indrees, qui a noté que l’Ontario à lui seul dépense 70 milliards de dollars par an en soins de santé. « Je ne pense pas que ce soit un manque de financement. C’est juste que les gens ne pensent pas que [la cybersécurité] est assez importante. » Alors que la province a mis en place un échange d’informations numériques sur la santé, elle a déclaré que les dépenses pour « des logiciels ou des formations pratiques et tangibles… font cruellement défaut ».
Les hôpitaux qui dépensent plus en informatique en général ne feront qu’exacerber le problème, a déclaré Curtis. L’argent doit être ciblé pour la cybersécurité.
Cependant, il a également déclaré que pour une meilleure sécurité, davantage d’institutions devraient adopter des systèmes partagés. Par exemple, il existe des services d’imagerie diagnostique partagés en Ontario utilisés par de nombreux hôpitaux et médecins.
Lui et d’autres ont également souligné un grave problème dans les hôpitaux canadiens : les logiciels et le matériel vétustes qui entravent l’adoption de technologies plus sécurisées.
Tam a déclaré que les PDG et les DSI des hôpitaux doivent considérer la cybersécurité comme distincte de l’informatique dans leurs budgets.
Une bonne gouvernance est également importante, a-t-il déclaré. « Nous devons nous unir pour nous attaquer collectivement à ces problèmes, identifier les risques et identifier les solutions. Si nous travaillons ensemble, nous pouvons également améliorer nos pratiques [de cybersécurité] à tous les niveaux. Nous avons un système de santé diversifié et vaste. Nous devons réfléchir à la manière dont nous gouvernons nos données et nos systèmes dans le secteur de la santé » plutôt qu’un hôpital à la fois.
Adaptation et traduction française par Renaud Larue-Langlois.
