Les cyberattaques et les atteintes à la sécurité sont en croissance constante au Canada et ailleurs dans le monde, et les organismes de santé sont une cible de choix. En mai 2017, les services de santé nationaux du Royaume-Uni ont été visés par une importante attaque par rançonlogiciel. Bien qu’aucune donnée n’ait été compromise, cette attaque a causé le report de certaines opérations et a suscité un questionnement au sujet de la cybersécurité dans le secteur de la santé.
Les organismes de santé sont plus à risque que ceux d’autres secteurs en ce qui a trait au vol d’informations, notamment parce que les renseignements médicaux personnels et les documents de recherches qu’ils détiennent sont des denrées très recherchées par les cybercriminels. Les systèmes de technologie de l’information décentralisés ont davantage de points d'accès, ce qui rend les soins aux patients, la recherche médicale et les données personnelles vulnérables aux attaques.
En 2017, nous avons collaboré avec un échantillon d'organismes de santé de l’Ontario afin d’évaluer leur degré de préparation en matière de cybersécurité. Nous leur avons expliqué notre façon de procéder, et ils nous ont permis de les aider à élargir leur vision de la cybersécurité. Nous avons simulé les techniques utilisées lors d’attaques réelles pour voler des informations sensibles, en nous concentrant sur le contournement des mécanismes de détection et de surveillance. Dans un nombre surprenant de cas, nous avons réussi à accéder à des renseignements sensibles sans être détectés. Bien que des mesures aient été prises pour régler ces cas en particulier, la menace est plus présente que jamais. D’après notre analyse de cette expérience, nous avons recommandé une marche à suivre pour aider les organismes à concentrer leurs ressources et à faire preuve d’une plus grande proactivité afin d’augmenter la confiance de leurs patients à l’égard de menaces à la sécurité encore inconnues.
84 % des cadres supérieurs canadiens de tous les secteurs considèrent que les compétences en matière de cybersécurité et de protection des renseignements personnels sont importantes pour leur entreprise.
De plus en plus, les organismes de santé sont conscients de l’importance de gérer les risques liés à la cybersécurité. En nous fondant sur les résultats de nos examens, nous avons recommandé cinq actions à mettre en œuvre pour améliorer la cybersécurité et ainsi mieux contrer les menaces à la sécurité.
Pour élaborer une stratégie de gestion des risques touchant la cybersécurité, il faut avoir une bonne connaissance des menaces auxquelles un organisme fait face. En premier lieu, il faut évaluer les menaces visant les actifs numériques de l’installation et déterminer les failles possibles dans la cybersécurité. Il est important que les organismes de santé établissent clairement leurs priorités en matière de cybersécurité et qu’ils déterminent les ressources dont ils auront besoin pour appuyer une transformation significative. Durant ce processus, il peut être judicieux de faire appel aux services d’experts, au besoin.
Les pratiques exemplaires en matière d’évaluation des risques établissent également la nécessité de bien comprendre l’objet et l’étendue de l’examen. Lorsqu’ils sont dotés d’une évaluation et d'une stratégie adéquates, les organismes disposent d’une méthode claire et réalisable pour concrétiser leurs objectifs face au changement tout en préservant leurs priorités.
Lorsque des pirates informatiques s’introduisent dans le système d'un organisme, il est important d’être en mesure de détecter leurs mouvements et d’y réagir rapidement. Or, un grand nombre d’organismes de santé canadiens ne possèdent pas de système de surveillance interne adéquat. Lors de notre examen approfondi, nous avons pu accéder aux renseignements sensibles de certaines installations sans que notre présence soit détectée. Cette expérience montre bien qu'il est nécessaire d’avoir un mécanisme de surveillance continue pouvant détecter les activités anormales.
Les organismes devraient élaborer divers scénarios et revoir leurs procédures internes pour déterminer les alertes qui seront générées et les procédures qui seront suivies à la suite de telles alertes. Ces procédures pourront ensuite servir de guide durant une éventuelle atteinte à la sécurité. Ceux qui travailleront avec un tiers fournisseur voudront établir clairement quelles seront les données échangées avec ce dernier et gérer les risques à cet égard au moyen d’obligations contractuelles. Une bonne surveillance peut s’avérer être un moyen efficace de prévenir les dommages causés par une intrusion.
Les organismes de santé sont vulnérables aux attaques par hameçonnage ciblées. Lors de notre examen, plusieurs employés nous ont fourni leurs données d'identification par courriel, ce qui nous a permis d'accéder à leur réseau interne. Les organismes sont également exposés aux risques d’intrusion physique, c’est-à-dire lorsque des pirates informatiques s’introduisent sur les lieux de travail et branchent des appareils non autorisés pour obtenir un accès à distance aux systèmes internes.
La sensibilisation à la sécurité est essentielle pour éviter que les employés ne succombent à des attaques sophistiquées ou ne laissent entrer des personnes non autorisées dans des endroits vulnérables. Il faut consacrer du temps et des ressources à la sensibilisation et à la formation des employés ainsi qu’à la surveillance de leurs activités. Les organismes devraient procéder régulièrement à de fausses attaques par hameçonnage et offrir ensuite la formation appropriée.
Il faut déceler les vulnérabilités et les problèmes de configuration avant que les pirates ne puissent les exploiter. Tout d’abord, les organismes de santé devraient procéder régulièrement à des évaluations de la vulnérabilité, en plus de s’assurer que leurs systèmes sont aussi efficaces que possible. Par la suite, des tests d’intrusion aideront les installations à détecter une grande partie des failles dans leur environnement pouvant faire en sorte que les informations sensibles soient vulnérables. Un test d’intrusion aide à déterminer si un organisme a une réaction adéquate à l’égard des vulnérabilités et des problèmes de configuration. Il est donc important de réaliser une évaluation de la vulnérabilité avant d’entreprendre un test d’intrusion.
Les cadres supérieurs doivent assumer la responsabilité de mettre en place des mesures de cyberrésilience et être le moteur d’une culture de gestion des risques de cybersécurité à tous les échelons. Dans tous les secteurs, 44 % des répondants à notre enquête « 2018 Global State of Information Security Survey » (en anglais seulement) ont indiqué que leur conseil d’administration s’affairait à établir les stratégies de leur entreprise en matière de sécurité.
Il est important d’établir une stratégie en cascade pour gérer les risques touchant la cybersécurité et la protection des renseignements personnels au sein de tous les organismes de santé. Plusieurs parties sont touchées, et il est important que le conseil d’administration établisse le mandat, que la direction habilite ses équipes et que les équipes fassent un travail efficace. Les organismes les mieux sécurisés sont bien placés pour réussir lorsqu’ils peuvent compter sur une bonne gestion et sur un mandat adéquat établi par le conseil d’administration à l’égard de la cybersécurité.
Il est temps d'élargir votre vision de la gestion de la cybersécurité pour être en mesure de protéger les patients, les renseignements personnels et les données de recherche contre des menaces à la sécurité encore inconnues. Nos recommandations aident les organismes de santé à réduire les risques liés à la cybersécurité.
Richard Wilson
Associé, Cybersécurité et protection des renseignements personnels, PwC Canada
Tél. : +1 416 941 8374