L’année 2019 a été l’année de la violation de la cybersécurité au Canada. Les manchettes de l’année ont donné une foule de détails sur les nouvelles violations, les vulnérabilités et les piratages, mais il serait bien difficile de savoir si des mesures ont réellement été prises à ce sujet. Parmi les nouvelles, nous avons appris que LifeLabs, l’une des plus importantes entreprises de services médicaux au Canada, a été piratée et que les renseignements personnels de près de 15 millions de clients ont été pris en otage. Les Canadiens sont contraints de se faire à l’idée que leurs données sur la santé et d’autres données personnelles sont constamment menacées. Pour dissiper cette menace, nous devons tous ensemble déployer un effort concerté : établissements, praticiens et personnel de la santé, patients, familles, et surtout le gouvernement.

Le monde a eu sa première grande démonstration de la cybervulnérabilité du secteur de la santé lors de l’attaque de WannaCry en 2017. Cette attaque a eu une pénétration particulière dans le National Health Service (NHS) du Royaume-Uni, provoquant une avalanche d’annulations de rendez-vous et la fermeture des services d’urgence dans 80 organisations de santé et 595 cabinets de médecins. Le coût net de l’événement s’est élevé à environ 92 millions de livres sterling.

Ça aurait pu être bien pire.

L’attaque de WannaCry n’a pas donné lieu à une vente massive d’informations médicales privées, d’identifiants personnels ou de propriété intellectuelle; elle n’a pas eu d’incidence sur la chaîne d’approvisionnement médicale; elle n’a pas inclus le détournement de ressources à des fins frauduleuses, et elle n’a pas impliqué le contrôle à distance d’équipements vitaux comme des ventilateurs ou des stimulateurs cardiaques connectés à l’Internet. En vérité, le plus étonnant dans cette attaque, c’est que le NHS n’était même pas une cible – c’est juste que ses institutions utilisaient un système d’exploitation vieux de 17 ans.

Cette histoire mérite qu’on s’y attarde un moment. Le virus particulier qui était en cause a été conçu pour s’attaquer à des logiciels informatiques anciens et son impact le plus visible a été dans l’un des plus grands systèmes de santé au monde.

Malheureusement, nous ne sommes pas meilleurs au Canada.

Le Royaume-Uni dispose d’un processus national d’évaluation de la cyberrésilience de son infrastructure de soins de santé et a consacré des ressources à la mise à niveau dans ses hôpitaux et ses organismes de santé. Nous n’avons pas un tel processus et nous n’avons pas consacré de telles ressources. Le Royaume-Uni déploie une approche nationale pour attirer les talents en cybersécurité dans son système de santé et encourage ses établissements à offrir de la formation en cyberhygiène et à en faire la promotion. Nous ne le faisons pas et nous ne l’avons pas fait.

La vérité, c’est qu’une approche cohérente pour sécuriser nos systèmes de soins de santé exigera des investissements en temps et en ressources; l’adoption d’approches créatives, systématiques et adaptables; et le maintien de partenariats à valeur durable. C’est d’ailleurs dans la poursuite de ce dernier objectif que SoinsSantéCAN a récemment conclu un partenariat avec la Fondation Canada-Israël pour la recherche et le développement industriels (FCIRDI).

En tant que porte-parole national des hôpitaux et des organisations de soins de santé du Canada, SoinsSantéCAN se fait le champion de l’innovation et de la transformation du système de santé du Canada. La FCIRDI est une organisation binationale appuyée par le Canada et Israël qui entretient des liens étroits avec l’Autorité israélienne de l’innovation, le « centre nerveux » de l’écosystème technologique d’Israël, qui produit près du quart des innovations de pointe dans le monde en matière de cybersécurité. Nos organisations s’associent dans un effort pour créer et maintenir un dialogue entre des experts en cybersécurité et des dirigeants du secteur de la santé, et pour cultiver la capacité et l’expertise en cybersécurité au sein du secteur canadien de la santé.

À la fin d’octobre, SoinsSantéCAN, Eastern Health, la plus grande organisation de santé intégrée de Terre-Neuve-et-Labrador, et la FCIRDI ont réuni des chefs de file israéliens en matière de cybersécurité; des spécialistes canadiens dans les domaines des soins de santé, de l’éducation, de la technologie de l’information et de la gestion; et des partenaires du secteur privé dans une discussion portant sur la cybersécurité dans les soins de santé canadiens. Nous nous appuyons maintenant sur ces discussions et nous travaillons à l’élaboration de nouveaux projets dans les domaines de l’éducation, du développement de logiciels et de l’infrastructure numérique pour appuyer la cybersécurité dans les soins de santé au Canada.

Il est urgent et nécessaire de conclure des partenariats de ce type si l’on veut exercer un certain contrôle sur les vulnérabilités du Canada en matière de cybersécurité, tant à l’intérieur qu’à l’extérieur des soins de santé. Mais ce serait construire un pont menant vers nulle part si le gouvernement fédéral considère que la cybersécurité dans le domaine de la santé ne nous concerne pas. Il est important de souligner que la lettre de mandat du premier ministre à Bill Blair, le ministre fédéral responsable de ces questions, ne contient qu’une seule référence à la cybersécurité. Les Canadiens seraient même en droit de se demander si la cybersécurité dans la santé fait partie des préoccupations du ministre.

La situation empirera probablement avant de s’améliorer. La génération actuelle de menaces est constituée de pirates informatiques, de virus informatiques et de menaces internes résultant de l’exploitation ou de la simple négligence. Nous commençons à peine à parler des conséquences découlant du fait que des pirates informatiques parrainés par des États utilisent l’intelligence artificielle et les technologies de l’informatique quantique.

Aucun organisme ou secteur ne peut faire cavalier seul dans cet environnement – nous allons devoir travailler ensemble pour défendre notre terrain numérique commun, et le gouvernement fédéral serait bien avisé de se joindre à nous.

 

Articles connexes:

• Aller de l’avant pour des soins de santé cybersécuritaires : Conclusions du Sommet canadien sur la cybersécurité dans les soins de santé
• Plateformes de santé et de données numériques : Une occasion de faire valoir l’excellence Canadienne dans la recherche en santé fondée sur des données probantes
• Promouvoir les pratiques exemplaires concernant la cybersécurité
• Identifier la santé comme un acteur clé de l’économie numérique