La santé virtuelle, la télémédecine, les dispositifs médicaux et les dossiers de santé électroniques ne sont que certains exemples qui illustrent concrètement comment la transformation numérique dans le secteur des soins de santé remodèle notre système de santé pour le mieux. Toutefois, alors que les soins de santé sont de plus en plus numérisés, automatisés et connectés, l’exposition aux cybermenaces suscite une préoccupation croissante.
Les cybercriminels continuent de profiter des vulnérabilités accrues en raison du travail à distance et de la pression que subissent des secteurs essentiels pour cibler des établissements de soins de santé et demander le paiement de rançons. Le Centre canadien pour la cybersécurité a rapporté 235 incidents liés à des rançongiciels ayant touché des victimes canadiennes du début de janvier au 16 novembre 2021. Selon le Centre, plus de la moitié des victimes œuvraient dans des secteurs essentiels, comme les soins de santé, mais comme seulement les plus grandes attaques sont signalées, les autorités fédérales n’ont pas suffisamment de données sur l’étendue réelle de la menace1.
Alors qu’elles dépendent de plus en plus des systèmes numériques, les organisations de soins de santé doivent maintenir un haut niveau de confiance envers leur capacité de réagir aux cybermenaces. Grâce à une consultation continue de ses membres et au maintien de solides relations de travail avec Sécurité publique Canada, Santé Canada et l’Agence de la santé publique du Canada, SoinsSantéCAN a concentré son travail de sensibilisation dans le domaine de la cybersécurité sur les points suivants :
SoinsSantéCAN continue de plaider en faveur d’une attention et d’un investissement accrus dans la cybersécurité dans le domaine des soins de santé, mais l’absence de normes claires est reconnue comme un obstacle à la cyberrésilience dans les établissements du Canada. Pour remédier à cette situation, SoinsSantéCAN collabore avec le Conseil stratégique des DPI avec le soutien du Programme de coopération en matière de sécurité de Sécurité publique Canada dans le double objectif suivant :
L’établissement d’un cadre de travail clair et le renforcement des capacités en matière de cybersécurité auront pour effet de mieux protéger les organisations de soins de santé du Canada contre le cybercrime et leur permettront de réagir plus efficacement aux menaces changeantes et de défendre les infrastructures essentielles.
En tant que porte-parole national des organisations de soins de santé et des hôpitaux du Canada, SoinsSantéCAN continue de réunir avec succès des partenaires et des parties prenantes clés pour discuter de l’évolution du paysage de la cybermenace pour les organisations de soins de santé du Canada. Nous orientons nos efforts sur les points suivants :
L’utilisation des technologies de l’information et des communications augmente rapidement dans le secteur de santé. Pourtant, le degré de préparation en matière de sécurité varie considérablement dans le secteur, même si l’on reconnaît l’importance cruciale d’une sensibilisation de base et d’une évaluation. Entre-temps, bien des organisations déclarent subir régulièrement des cyberattaques de divers types.
Le contexte actuel permet de croire que les organisations de soins de santé sont très vulnérables aux cyberattaques et les données indiquent que le secteur de la santé est une cible de plus en plus prisée pour plusieurs facteurs déterminants :
Une vaste consultation auprès de ses membres et d’autres intervenants clés a permis à SoinsSantéCAN d’identifier un certain nombre d’opportunités pour améliorer la cyberrésilience. L’une des principales recommandations qui en découlent porte sur un engagement à favoriser une culture de la cybersécurité dans le système de santé du Canada par des normes cohérentes et l’adoption d’une approche systématique à la sensibilisation du secteur de la santé aux cyberrisques et à leur atténuation.
La promotion de la résilience des infrastructures essentielles suppose l’élaboration de normes de cybersécurité nationales spécifiques au secteur pour que les organisations de soins de santé puissent remédier à leurs vulnérabilités et se préparer à de futurs incidents.
Les 9 et 10 mars 2022, SoinsSantéCAN et le Conseil stratégique des DPI ont tenu conjointement une série d’ateliers dans les deux langues officielles dans l’objectif de recueillir les commentaires des leaders de la technologie des soins de santé de tout le pays sur leurs préoccupations, leurs problèmes et leurs besoins en matière de cybersécurité. Ces commentaires guideront l’élaboration d’une Norme nationale pour la cyberrésilience dans les soins de santé au Canada.
Quelque 120 leaders des technologies de la santé de tout le Canada ont participé à ces ateliers, y compris des responsables au sein d’organisations membres de SoinsSantéCAN. On leur a demandé de répondre aux cinq questions suivantes :
Les participants aux ateliers ont identifié les soins aux patients, la sécurité, la protection de l’information sur la santé et la capacité d’assurer la continuité des soins comme certains des domaines d’inquiétude les plus importants. Ils ont également estimé qu’une approche pancanadienne spécifique aux soins de santé serait nécessaire pour traiter des facteurs de risque les plus courants pour les organisations de soins de santé, notamment les rançongiciels, les infrastructures de TI existantes, le manque de financement, l’engagement des dirigeants et les normes.
Comme bien des organisations auront besoin de ressources additionnelles pour mettre en œuvre un tel programme, les participants ont estimé qu’une approche par paliers assurerait l’accessibilité à toutes les organisations du système de soins de santé du Canada. Les participants ont insisté sur l’importance d’une formation approfondie pour le personnel de première ligne et le personnel clinique et de mesures de soutien à l’application des connaissances.
Le rapport final de ces groupes de discussion est disponible ici.
Une vaste consultation menée auprès des membres de SoinsSantéCAN, de partenaires clés et de parties prenantes révèle une variation importante du niveau de cyberrésilience et de préparation parmi les organisations de soins de santé du Canada. L’élaboration d’un nouvel ensemble de normes pour soutenir la cyberrésilience du système de santé du Canada assurera une préparation cohérente des organisations de soins de santé de tout le pays. L’élaboration de matériel d’application des connaissances soulignera pour sa part l’importance de la cyberhygiène pour tous les employés et leur donnera les connaissances nécessaires pour éviter les menaces les plus courantes et les plus graves en leur permettant de réagir en cas d’attaque des systèmes.
Lors de l’élaboration des ressources éducatives et du matériel d’application des connaissances, il sera important d’envisager divers formats de formation et d’activités pour maintenir l’engagement et la sensibilisation des personnes, y compris :
L’amélioration de la cyberhygiène est essentielle pour que les organisations de soins de santé puissent se protéger contre les atteintes à la sécurité et les cyberattaques. L’élaboration de programmes de formation et de ressources complets sur les meilleures pratiques, politiques et procédures en matière de cybersécurité aidera les organisations de soins de santé du Canada à maintenir un haut niveau de confiance dans leur capacité de réagir aux cybermenaces.
Le Conseil stratégique des DPI et SoinsSantéCAN sont en train de former un comité technique d’experts de la cybersécurité provenant d’organisations privées, publiques et gouvernementales et d’institutions membres de SoinsSantéCAN. Ce comité sera chargé de créer la norme nationale sur la cyberrésilience dans les soins de santé. SoinsSantéCAN et le Conseil stratégique des DPI créeront également du matériel d’application des connaissances et lanceront une campagne de sensibilisation des fournisseurs lors d’événements clés. Les membres de SoinsSantéCAN seront consultés pendant l’élaboration de ce matériel et auront l’occasion de fournir leurs commentaires sur la norme et le matériel d’application des connaissances.
Merci à Claire Samuelson-Kiraly, consultante, SoinsSantéCAN.
PUBLIÉ
le 15 juin 2022
POUR PLUS D’INFORMATIONS
Siri Chunduri
Analyste des politiques et de la recherche
schunduri@healthcarecan.dev2.inter-vision.ca
Jonathan Mitchell
Vice-président, Recherche et politiques
jmitchell@healthcarecan.dev2.inter-vision.ca
