L’Institut des normes de gouvernance stratégique (INGN) élabore des normes de gouvernance de la technologie numérique adaptées à une utilisation planétaire. Il collabore avec des experts, avec des partenaires au pays et à l’étranger et avec le public pour établir des normes nationales visant à réduire les risques pour la population et les organisations canadiennes qui adoptent et utilisent des technologies novatrices dans l’économie numérique d’aujourd’hui.
Ses normes sont élaborées conformément aux Exigences et lignes directrices – Accréditation des organismes d’élaboration de normes (13 juin 2019) du Conseil canadien des normes (CCN).
Il est à noter que certains éléments de la présente norme peuvent faire l’objet de droits de brevet. L’INGN ne saurait être tenu responsable de ne pas avoir indiqué ces droits. Les droits de propriété intellectuelle répertoriés lors de l’élaboration du document figurent dans l’introduction.
Pour en savoir plus sur l’INGN :
Institut des normes de gouvernance numérique
500-1000, promenade Innovation
Ottawa (Ontario) K2K 3E7
www.dgc-cgn.org
Les Normes nationales du Canada sont élaborées par les organismes titulaires de l’accréditation du CCN, conformément aux exigences et lignes directrices de ce dernier. On trouvera des renseignements supplémentaires sur ces normes au www.ccn.ca.
Le CCN est une société d’État qui fait partie du portefeuille d’Innovation, Sciences et Développement économique Canada (ISDE). Pour améliorer la compétitivité économique du Canada et le bien-être collectif de sa population, le CCN dirige et facilite l’élaboration et l’utilisation de normes nationales et internationales. Il coordonne aussi la participation du pays à l’élaboration des normes et définit des stratégies pour promouvoir les efforts de normalisation canadiens.
Le CCN fournit des services d’accréditation à divers clients, dont des organismes de certification de produits, des laboratoires d’essai et des organismes d’élaboration de normes. La liste des programmes du CCN et des organismes accrédités peut être consultée sur le site www.ccn.ca.
Le présent document constitue la première version de la norme CAN/DGSI 118:2023, Cybersécurité : cyberrésilience en santé.
Cette norme a été élaborée par le comité technique 5 (TC 5) sur la cybersécurité de l’Institut des normes de gouvernance numérique, qui se compose de plus de 180 grands penseurs et experts en cybersécurité et en sujets connexes. Elle a été approuvée par un groupe avec droit de vote formé par le comité technique, comprenant quatre producteurs, trois utilisateurs, quatre représentants de la collectivité et quatre représentants du secteur public, d’organismes de réglementation ou d’organismes responsables des politiques.
Toutes les unités de mesure utilisées sont exprimées conformément au Système international d’unités (SI).
La norme sera soumise à l’examen du comité technique au plus tard un an après sa date de publication, après quoi elle pourra être rééditée, révisée, confirmée ou abandonnée.
Son but premier est énoncé sous la rubrique « Portée ». Il incombe néanmoins à l’utilisateur de juger si elle convient à une application donnée.
La norme est destinée à des fins d’évaluation de la conformité.
L’Institut des normes de gouvernance numérique remercie SoinsSantéCAN pour sa vision, son soutien et sa collaboration pour co-développer de la norme CAN/DGSI 118:2023, Cybersécurité : cyberrésilience en santé. SoinsSantéCAN est la voix pancanadienne d’appel à l’action des organisations de soins et des hôpitaux du Canada. L’organisme œuvre à promouvoir la recherche et l’innovation en santé, à améliorer la disponibilité des soins de grande qualité au pays et à fournir des programmes d’apprentissage inégalés aux professionnels de la santé. www.healthcarecan.ca/fr/
L’Institut des normes de gouvernance numérique reconnaît le soutien financier de Sécurité publique Canada.
ICS 03.100.01; 35.030
Les organisations de santé du Canada sont souvent les cibles de cyberattaques (escroquerie au faux ordre de virement, piratage psychologique, attaque par rançongiciel, vol de données, etc.). Les conséquences éventuelles sont multiples : panne des systèmes, problèmes opérationnels, retards et attente prolongée pour les patients, redirection des soins d’urgence ou critiques vers d’autres établissements, atteinte à la vie privée, perte de données, atteinte à l’intégrité des données et plus. Les organisations de santé n’ont pas les ressources pour mettre en place un cadre de cybersécurité rigoureux et des solutions technologiques novatrices, mais il leur est nécessaire de mettre en place des contrôles de base. C’est pourquoi la présente norme définit les mesures de cybersécurité les plus utiles.
L’annexe A offre plus de contexte ainsi que des exemples de brèches de sécurité informatique au sein d’organisations de santé.
Sécurité des soins de santé virtuels (visites virtuelles, suivis des patients à distance, applications pour les patients)
Visites virtuelles
Les visites virtuelles sont des rencontres cliniques entre un patient et un fournisseur de soins organisées à distance à l’aide d’outils électroniques divers, comme des plateformes de conférence téléphonique ou vidéo et des systèmes de messagerie ou de partage de documents sécurisés, pour faciliter la prestation des soins et en maximiser la qualité, l’efficience et l’efficacité. Une visite virtuelle peut être synchrone (communication en temps réel) ou asynchrone (communication intermittente entre le patient et le médecin). Chacun de ces outils amène ses propres risques de confidentialité et de sécurité qui ne sont pas présents dans les cliniques et les hôpitaux.
Suivi des patients à distance
Le suivi à distance consiste à utiliser des technologies pour surveiller et enregistrer les données de santé d’un patient à la maison ou dans un autre contexte non clinique pour améliorer sa qualité de vie et ses résultats de santé.
Les processus et les technologies (dispositifs et applications) utilisés peuvent appartenir à l’organisation de santé, ou à un tiers qui facilite la collecte de renseignements médicaux dans les milieux non cliniques contrôlés par les patients et leur consolidation dans un point central conçu ou géré par l’organisation.
Dans certains cas, les outils de suivi peuvent être considérés comme des dispositifs médicaux. Les organismes de réglementation du Canada et des États-Unis ont publié des lignes directrices pour baliser les définitions des dispositifs médicaux, leur usage prévu et les risques de préjudice associés à leur emploi. Santé Canada tient notamment un site Web consacré à ces documents d’orientation, et le Secrétariat américain aux produits alimentaires et pharmaceutiques (FDA) a publié à ce sujet le guide Mobile Medical Applications: Guidance for Industry and Food and Drug Administration Staff le 25 septembre 2013.
Les dispositifs et applications de suivi des patients à distance mentionnés plus haut présentent des risques uniques, dont les organisations de santé devraient tenir compte au moment de choisir les applications mobiles à utiliser.
Sécurité des technologies de santé (infonuagique, Internet des objets, systèmes vieillissants) et des technologies opérationnelles
Comme les risques de cybersécurité associés aux dispositifs médicaux évoluent constamment, il n’est pas possible de tous les éliminer à l’étape d’installation. Les organisations peuvent gérer ces risques en instaurant un programme de gestion des risques indépendant ou parallèle visant à prévenir, à surveiller et à pallier les vulnérabilités des dispositifs médicaux, soit les dispositifs reliés à l’Internet des objets (IdO) (ex. : appareil de radiographie) et les objets personnels connectés utilisant un protocole Ethernet, Bluetooth, Wi-Fi ou autre.
De plus en plus, les organisations de santé se tournent vers les technologies opérationnelles (TO) interconnectées aux TI et à l’IdO pour soutenir l’environnement physique. Aussi auront-elles besoin d’un cadre de sécurité approprié pour protéger les données recueillies par ces TO et pour assurer la disponibilité et la fiabilité de la technologie. Les stratégies de cyberrésilience présentées dans la présente norme s’appliquent tant aux TI qu’aux TO. Il sera également important de sécuriser les solutions d’intelligence artificielle (IA) et d’apprentissage machine dans les environnements de TO.
PUBLIÉ
le 29 novembre 2023
POUR PLUS D’INFORMATIONS
Jonathan Mitchell
Vice-président, Recherche et politiques
jmitchell@healthcarecan.dev2.inter-vision.ca
