Principaux points à retenir du sommet sur la cybersécurité de SoinsSantéCAN

Principaux points à retenir du sommet sur la cybersécurité de SoinsSantéCAN

Un peu plus tôt cette année, SoinsSantéCAN a publié un appel à l’action pour traiter des vulnérabilités de la cybersécurité dans les soins de santé au Canada et a invité des leaders canadiens et internationaux en santé et en sécurité numérique à assister à notre sommet sur la cybersécurité. Le 22 février 2018, ces leaders se sont réunis à l’hôtel Sheraton de l’aéroport de Toronto pour tracer une voie à suivre. Voici les principaux points à retenir de ce sommet.

1. Tous les hôpitaux sont exposés à une cyberattaque

Les hôpitaux, peu importe leur taille ou leur emplacement, sont tous exposés aux cyberattaques. Les pirates informatiques considèrent que les hôpitaux sont de grands dépositaires de renseignements précieux, qui disposent de budgets limités pour sécuriser leurs données et moderniser leurs anciens appareils et logiciels, ce qui les rend vulnérables et ce qui en fait donc des cibles idéales.

Les présentateurs du sommet ont souligné que le secteur des soins de santé sera un secteur névralgique pour les cyberattaques dans la prochaine année et que ces attaques augmenteront en nombre et en sophistication. « Nous faisons face à l’inévitable », a dit Ray Boisvert, conseiller provincial en matière de sécurité pour l’Ontario. « Éventuellement, vous serez touchés », a ajouté John Riggi, conseiller principal en matière de cybersécurité et de risques pour l’American Hospital Association. « La question n’est pas de savoir si, mais de savoir quand. »

2. Les données des hôpitaux et l’accès aux systèmes sont irrésistibles pour les cybercriminels

Les données sont les éléments d’actif les plus précieux de votre organisation et elles n’apparaissent pas à votre bilan.Kevin Magee, directeur national pour les technologies infonuagiques émergentes intelligentes chez Microsoft Canada.

Données en soins de santé – allant des dossiers de patients jusqu’aux renseignements cliniques, ces données contiennent une foule d’information dont peuvent profiter les pirates informatiques. Les données en soins de santé contiennent tous les ensembles de données nécessaires pour voler des identités, frauder des assureurs, crypter des données pour exiger des rançons, collecter des données à partir de références croisées et usurper la propriété intellectuelle. Une faille de sécurité peut donc avoir des incidences sérieuses non seulement pour l’hôpital et ses patients, mais aussi pour l’État.

Rançon – Le secteur des soins de santé se fie tellement aux renseignements médicaux numériques que certains systèmes hospitaliers ne peuvent survivre longtemps sans eux. Le cryptage de données médicales suivi de la demande d’une rançon pour redonner au personnel l’accès aux données est une stratégie courante qui coûte des millions de dollars aux hôpitaux en paiement de rançons en plus d’interrompre ou de ralentir les activités pendant plusieurs jours.

Vol d’identité – le vol de renseignements médicaux pour les vendre sur le marché noir génère des profits de millions de dollars pour les pirates, car ces renseignements comprennent des données très sensibles qu’il est particulièrement difficile de modifier, comme les numéros d’assurance sociale.

Facturation frauduleuse au système médical / aux assureurs – après avoir eu accès au système d’un hôpital, les pirates informatiques peuvent obtenir de l’information clinique et l’utiliser pour acheter de l’équipement médical ou des médicaments qui peuvent être revendus; ils peuvent aussi remplir des réclamations frauduleuses auprès des assureurs.

Références croisées entre les données pour la collecte de renseignements intelligents par des adversaires politiques ou d’autres États – Cela s’applique particulièrement aux dossiers de santé du personnel militaire qui reçoit des traitements dans des hôpitaux pour civils. En faisant des références croisées des données des patients avec d’autres données disponibles, un pirate peut déterminer des calendriers d’affectation, de l’information sensible sur des tests médicaux et de l’information sur l’état de santé général du militaire.

Vol de propriété intellectuelle – Les pirates peuvent voler de l’information sur des essais cliniques en cours, ou des produits innovateurs avant qu’ils ne soient brevetés, puis supprimer toute l’information connexe dans le système de l’hôpital avant de vendre l’information volée à des compétiteurs sur le marché noir. Les hôpitaux et leurs instituts de recherche peuvent perdre des millions de dollars en revenus potentiels.

Accès aux systèmes des hôpitaux – Les diverses utilisations que peuvent faire les cybercriminels des données volées sont relativement simples. Ils ne cherchent pas toujours l’appât du gain ou la vengeance. La puissance et le contrôle (terrorisme) sont des raisons tout aussi probables d’une attaque. L’accès aux systèmes des hôpitaux donne aux cybercriminels les moyens de contrôler le diagnostic, le traitement, et l’équipement de maintien des fonctions vitales. En fait, en ayant accès aux systèmes, ils peuvent désactiver les appareils d’IRM, pénétrer dans les stimulateurs cardiaques, rediriger les virements ou complètement couper le réseau électrique.

3. Les hôpitaux peuvent se protéger eux-mêmes

On considère généralement la cybersécurité comme un problème technologique; toutefois, c’est plutôt une erreur humaine qui cause généralement une brèche de sécurité. Comme le dit Dan Taylor, directeur de la sécurité pour NHS Digital, « la cybersécurité n’est par un problème technique, c’est un problème de personnes. » Certains points importants ont été soulevés pendant la séance, et principalement le fait que l’éducation – jumelée à l’utilisation d’un langage simple et d’une formation incitative – est un facteur déterminant pour prévenir une cyberattaque et pour s’assurer que les données sont régulièrement sauvegardées.

Éduquer – La méthode probablement la plus efficace de se protéger contre une cyberattaque est d’éduquer le personnel sur la diligence raisonnable en matière de cybersécurité et sur les stratégies généralement utilisées par les pirates. La prévention est la clé. La formation doit être offerte à tous les employés, à tous les niveaux, car la cybersécurité est la responsabilité de tous les départements et de toutes les parties intéressées.

Utiliser un langage simple – Lorsque vous expliquez les risques et que vous donnez de la formation sur la cybersécurité, faites-le dans un langage facile à comprendre pour les gens qui ne s’y connaissent pas trop en informatique. Évitez les termes trop techniques pour prévenir la confusion et l’intimidation qui peuvent entraîner une erreur humaine coûteuse.

Offrir des incitatifs – La peur n’est pas un bon incitatif. Donnez aux employés des occasions de participer à des activités de formation agréables et interactives, car les séances de formation ordinaires sont rarement mémorables. La formation peut être ludique et mémorable si par exemple vous offrez de petites récompenses aux personnes qui identifient des attaques d’hameçonnage. Pour le personnel plus expérimenté et les parties prenantes qui ne veulent pas déclarer leurs lacunes à cause des risques que cela pose à leur réputation, les séances de formation individuelles se sont révélées particulièrement efficaces.

Sauvegarde – la sauvegarde des données ne résoudra pas toujours le problème, mais les sauvegardes de données régulières demeurent nécessaires, car elles réduisent le risque que des pirates détiennent des données pour en obtenir une rançon et elles protègent contre la suppression des données. Les copies de sauvegarde doivent être stockées hors ligne et hors site pour que le personnel puisse avoir accès aux dossiers pendant une attaque.

4. La réponse à une attaque est la responsabilité de toute l’entreprise

La cybersécurité n’est pas une question de TI; c’est une question de sécurité des patients.John Riggi, conseiller principal en matière de cybersécurité et de risques pour l’American Hospital Association

D’autres secteurs, y compris ceux de l’énergie et de la finance, considèrent la sécurité comme une responsabilité de toute l’entreprise, mais le secteur des soins de santé n’a pas encore adopté cette philosophie. Comme la cybersécurité est souvent traitée comme une question de TI, la résilience et l’intervention sont déléguées au responsable de la technologie, au responsable de l’information ou au titulaire d’un poste semblable. Cette attitude empêche le conseil d’administration et l’équipe de direction d’acquérir l’expérience et l’expertise ou de préparer un plan de résilience et d’intervention qui touche toutes les activités de l’organisation.

Traiter la sécurité comme une question de TI, c’est cacher le fait que la menace interne est un important vecteur de risques à la sécurité. Ces menaces peuvent être accidentelles ou intentionnelles. Par exemple, un récent sondage auprès d’environ 900 employés de fournisseurs et de payeurs de soins de santé aux États-Unis et au Canada a révélé que 21 pour cent des employés du secteur écrivaient leur nom d’utilisateur et leur mot de passe à proximité de leur ordinateur et que 18 pour cent étaient prêts à vendre des données confidentielles sur les patients à une personne de l’extérieur non autorisée. « Ne négligez jamais la menace interne », recommande Ray Boisvert, conseiller provincial en matière de sécurité pour l’Ontario. « Vous pouvez faire confiance, mais vérifiez tout de même toujours. »

La planification préalable est impérative; le pire moment pour élaborer une stratégie, c’est pendant une attaque, alors que les niveaux de stress sont élevés. Les organisations de soins de santé devraient avoir un plan qui traite de prévention et d’interventions en cas de cyberattaques sous toutes leurs formes. Le plan doit comprendre une série de critères pour déterminer à qui demander de l’aide; s’il y a lieu de payer une rançon et dans quelles situations; et comment communiquer avec le personnel et les parties intéressées. Ce plan suppose aussi d’établir des exigences de cybersécurité dans l’approvisionnement en matériel informatique pour encourager la résilience et prévenir les attaques.

« Lorsqu’une attaque se produit, votre premier appel devrait être à votre avocat », recommande Jim Patterson, du cabinet Bennett-Jones LLP. Les enquêtes ou les mesures que prend une organisation avant d’avoir engagé un conseiller juridique ne sont pas couvertes par le privilège. L’organisation peut être tenue de les divulguer pendant un recours collectif ou une autre action en justice. Votre deuxième appel devrait être à votre assureur.

5. La communauté de SoinsSantéCAN s’engage à fond dans la cyberrésilience

Le sommet canadien sur la cybersécurité des soins de santé a donné lieu au lancement de la Déclaration sur l’engagement pour des soins de santé cybersécuritaires dont les signataires s’engagent à prendre six mesures concrètes pour améliorer la préparation et la résilience en matière de cybersécurité :

  1. Plaider en faveur : plaider en faveur de la cybersécurité dans le système de santé du Canada;
  2. Informer : s’assurer que nos dirigeants, nos employés et nos partenaires sont informés de l’étendue du défi et des possibilités d’atténuer le risque;
  3. Contribuer : contribuer aux plans d’action communs qui créent la résilience collective aux cyberattaques;
  4. Progresser : assurer la progression de la cybersécurité de manière cohérente avec notre mandat et tenir compte des occasions de prévention, d’atténuation, de préparation, de réaction et de rétablissement;
  5. Partager : partager l’information, les pratiques exemplaires et les outils avec d’autres intervenants du secteur de la santé et d’autres secteurs pour bâtir la capacité et la résilience collectives;
  6. Faire preuve de transparence : comme la situation et la capacité de chaque organisation sont uniques, nous confirmerons d’ici le Mois de la sensibilité à la cybersécurité, en octobre 2018, les mesures que nous prendrons pour concrétiser ces engagements dans notre contexte particulier et/ou avec notre collectivité.

La Déclaration sert de pierre angulaire pour une Coalition canadienne pour la cybersécurité des soins de santé qui amènera ses membres à unir leurs efforts pour offrir de l’éducation, de la normalisation, du partage d’information et d’autres marques de cyberrésilience.

Outils et liens utiles

Les participants ont souligné les outils et les ressources actuellement disponibles pour orienter et soutenir la détection de cybermenaces et les mesures à prendre. La description annotée de certains de ces outils est présentée ci-dessous :

Échange canadien de menaces cybernétiques (ECMC)) – ECMC est un organisme indépendant à but non lucratif lancé en 2016 pour aider les entreprises et les consommateurs canadiens à détecter et à atténuer les cyberattaques. ECMC agit comme un point de contact dans lequel l’information sur les menaces de divers secteurs et industries peut être analysée, au bénéfice de tous les membres. Les partenaires d’ECMC donnent accès à des données internes qu’ECMC collige, analyse, résume et rend anonymes pour leur distribution dans le réseau. Toutes les menaces détectées par ce processus sont identifiées et tous les membres en sont informés et reçoivent des conseils sur les stratégies d’atténuation. L’approche d’ECMC concorde avec la Stratégie nationale sur les infrastructures essentielles et certains ministères fédéraux d’importance se sont récemment joints au réseau, dont Sécurité publique Canada et le Centre de la sécurité des télécommunications du Canada.

Cyber Essentials – Cyber Essentials Canada est une plateforme qui permet aux firmes d’autoévaluer leur cyberrésilience en se basant sur cinq mesures de contrôle essentielles : (1) pare-feu et passerelles Internet, (2) configuration sécuritaire, (3) contrôle d’accès, (4) protection contre les maliciels, (5) gestion des correctifs. Ces cinq contrôles de sécurité peuvent prévenir environ 80 % des cyberattaques courantes. La certification de Cyber Essentials est obligatoire au Royaume-Uni pour les firmes qui font affaire avec le gouvernement.

Centre canadien de réponse aux incidents cybernétiques – Le CCRIC est un centre national de coordination dont la responsabilité consiste à atténuer les risques d’origine cybernétique auxquels sont exposés les systèmes et les services vitaux du Canada et fonctionne au sein de Sécurité publique Canada, en partenariat avec les provinces, les territoires, les municipalités, des organisations du secteur privé et des homologues internationaux. Il coordonne également la réponse nationale à tout incident grave menaçant la cybersécurité.

Passerelle d’information canadienne sur les infrastructures essentielles – La Passerelle d’information canadienne sur les infrastructures essentielles est un espace de travail non classifié, axé sur la collaboration et destiné aux intervenants du milieu des infrastructures essentielles, qui vise à faciliter l’échange d’information afin de bâtir un Canada plus sécuritaire et plus résilient. Les propriétaires ou les exploitants d’infrastructures essentielles peuvent profiter de l’expertise commune et d’un accès rapide à de l’information sur les cybermenaces en se joignant à la Passerelle et en y participant.