Site Search

Menu

Secteurs d’activité

À ne pas manquer

Voice of the Consumer 2024 – Perspective canadienne

Une nouvelle ère pour la modélisation et la tarification des risques d’assurance

Gouvernements : la gestion à l’ère de l’IA

Menu

À propos de PwC

Menu

Notre mission, notre vision et nos valeurs

À ne pas manquer

Notre nouvelle cohorte d’associés

Nicolas Marcoux, chef de la direction de PwC Canada, reconnu pour son engagement envers l'avancement des femmes dans le milieu des affaires

Notre mission, notre vision et nos valeurs

Loading Results

Gérer les risques liés à la cybersécurité dans le secteur de la santé

La voie pour renforcer la confiance du public

Les cyberattaques et les atteintes à la sécurité sont en croissance constante au Canada et ailleurs dans le monde, et les organismes de santé sont une cible de choix. En mai 2017, les services de santé nationaux du Royaume-Uni ont été visés par une importante attaque par rançonlogiciel. Bien qu’aucune donnée n’ait été compromise, cette attaque a causé le report de certaines opérations et a suscité un questionnement au sujet de la cybersécurité dans le secteur de la santé.

Les organismes de santé sont plus à risque que ceux d’autres secteurs en ce qui a trait au vol d’informations, notamment parce que les renseignements médicaux personnels et les documents de recherches qu’ils détiennent sont des denrées très recherchées par les cybercriminels. Les systèmes de technologie de l’information décentralisés ont davantage de points d'accès, ce qui rend les soins aux patients, la recherche médicale et les données personnelles vulnérables aux attaques.  

En 2017, nous avons collaboré avec un échantillon d'organismes de santé de l’Ontario afin d’évaluer leur degré de préparation en matière de cybersécurité. Nous leur avons expliqué notre façon de procéder, et ils nous ont permis de les aider à élargir leur vision de la cybersécurité. Nous avons simulé les techniques utilisées lors d’attaques réelles pour voler des informations sensibles, en nous concentrant sur le contournement des mécanismes de détection et de surveillance. Dans un nombre surprenant de cas, nous avons réussi à accéder à des renseignements sensibles sans être détectés. Bien que des mesures aient été prises pour régler ces cas en particulier, la menace est plus présente que jamais. D’après notre analyse de cette expérience, nous avons recommandé une marche à suivre pour aider les organismes à concentrer leurs ressources et à faire preuve d’une plus grande proactivité afin d’augmenter la confiance de leurs patients à l’égard de menaces à la sécurité encore inconnues.

84 % des cadres supérieurs canadiens de tous les secteurs considèrent que les compétences en matière de cybersécurité et de protection des renseignements personnels sont importantes pour leur entreprise.

QI numérique – Perspectives canadiennes (en anglais)

La cyberrésilience en cinq étapes

De plus en plus, les organismes de santé sont conscients de l’importance de gérer les risques liés à la cybersécurité. En nous fondant sur les résultats de nos examens, nous avons recommandé cinq actions à mettre en œuvre pour améliorer la cybersécurité et ainsi mieux contrer les menaces à la sécurité.

1. Élaborer une stratégie de cybersécurité fondée sur une bonne connaissance des risques

Pour élaborer une stratégie de gestion des risques touchant la cybersécurité, il faut avoir une bonne connaissance des menaces auxquelles un organisme fait face. En premier lieu, il faut évaluer les menaces visant les actifs numériques de l’installation et déterminer les failles possibles dans la cybersécurité. Il est important que les organismes de santé établissent clairement leurs priorités en matière de cybersécurité et qu’ils déterminent les ressources dont ils auront besoin pour appuyer une transformation significative. Durant ce processus, il peut être judicieux de faire appel aux services d’experts, au besoin.

Les pratiques exemplaires en matière d’évaluation des risques établissent également la nécessité de bien comprendre l’objet et l’étendue de l’examen. Lorsqu’ils sont dotés d’une évaluation et d'une stratégie adéquates, les organismes disposent d’une méthode claire et réalisable pour concrétiser leurs objectifs face au changement tout en préservant leurs priorités.
 

2. Faire une surveillance active des systèmes

Lorsque des pirates informatiques s’introduisent dans le système d'un organisme, il est important d’être en mesure de détecter leurs mouvements et d’y réagir rapidement. Or, un grand nombre d’organismes de santé canadiens ne possèdent pas de système de surveillance interne adéquat. Lors de notre examen approfondi, nous avons pu accéder aux renseignements sensibles de certaines installations sans que notre présence soit détectée. Cette expérience montre bien qu'il est nécessaire d’avoir un mécanisme de surveillance continue pouvant détecter les activités anormales.

Les organismes devraient élaborer divers scénarios et revoir leurs procédures internes pour déterminer les alertes qui seront générées et les procédures qui seront suivies à la suite de telles alertes. Ces procédures pourront ensuite servir de guide durant une éventuelle atteinte à la sécurité. Ceux qui travailleront avec un tiers fournisseur voudront établir clairement quelles seront les données échangées avec ce dernier et gérer les risques à cet égard au moyen d’obligations contractuelles. Une bonne surveillance peut s’avérer être un moyen efficace de prévenir les dommages causés par une intrusion.
 

3. Sensibiliser le personnel à la cybersécurité

Les organismes de santé sont vulnérables aux attaques par hameçonnage ciblées. Lors de notre examen, plusieurs employés nous ont fourni leurs données d'identification par courriel, ce qui nous a permis d'accéder à leur réseau interne. Les organismes sont également exposés aux risques d’intrusion physique, c’est-à-dire lorsque des pirates informatiques s’introduisent sur les lieux de travail et branchent des appareils non autorisés pour obtenir un accès à distance aux systèmes internes.

La sensibilisation à la sécurité est essentielle pour éviter que les employés ne succombent à des attaques sophistiquées ou ne laissent entrer des personnes non autorisées dans des endroits vulnérables. Il faut consacrer du temps et des ressources à la sensibilisation et à la formation des employés ainsi qu’à la surveillance de leurs activités. Les organismes devraient procéder régulièrement à de fausses attaques par hameçonnage et offrir ensuite la formation appropriée.
 

4. Déceler les vulnérabilités et améliorer la sécurité

Il faut déceler les vulnérabilités et les problèmes de configuration avant que les pirates ne puissent les exploiter. Tout d’abord, les organismes de santé devraient procéder régulièrement à des évaluations de la vulnérabilité, en plus de s’assurer que leurs systèmes sont aussi efficaces que possible. Par la suite, des tests d’intrusion aideront les installations à détecter une grande partie des failles dans leur environnement pouvant faire en sorte que les informations sensibles soient vulnérables. Un test d’intrusion aide à déterminer si un organisme a une réaction adéquate à l’égard des vulnérabilités et des problèmes de configuration. Il est donc important de réaliser une évaluation de la vulnérabilité avant d’entreprendre un test d’intrusion.
 

5. Obtenir l’appui de la direction

Les cadres supérieurs doivent assumer la responsabilité de mettre en place des mesures de cyberrésilience et être le moteur d’une culture de gestion des risques de cybersécurité à tous les échelons. Dans tous les secteurs, 44 % des répondants à notre enquête « 2018 Global State of Information Security Survey » (en anglais seulement) ont indiqué que leur conseil d’administration s’affairait à établir les stratégies de leur entreprise en matière de sécurité.

Il est important d’établir une stratégie en cascade pour gérer les risques touchant la cybersécurité et la protection des renseignements personnels au sein de tous les organismes de santé. Plusieurs parties sont touchées, et il est important que le conseil d’administration établisse le mandat, que la direction habilite ses équipes et que les équipes fassent un travail efficace. Les organismes les mieux sécurisés sont bien placés pour réussir lorsqu’ils peuvent compter sur une bonne gestion et sur un mandat adéquat établi par le conseil d’administration à l’égard de la cybersécurité.
 

Prochaines étapes

Il est temps d'élargir votre vision de la gestion de la cybersécurité pour être en mesure de protéger les patients, les renseignements personnels et les données de recherche contre des menaces à la sécurité encore inconnues. Nos recommandations aident les organismes de santé à réduire les risques liés à la cybersécurité.  
 

Téléchargez la publication complète en format PDF

Gérer les risques liés à la cybersécurité dans le secteur de la santé

Contactez-nous

Richard Wilson

Richard Wilson

Associé, Cybersécurité et protection des renseignements personnels, PwC Canada

Tél. : +1 416 941 8374

Linkedin Follow Courriel
Suivre PwC Canada
Les défis du moment Les défis du moment Acquisitions et désinvestissements Conformité. Stratégique. Crises Cybersécurité, protection des renseignements personnels et criminalité financière Environnement, social et gouvernance (ESG) L’avenir de la fonction Finances L’intelligence artificielle générative Les effectifs de l’avenir Prêts pour la croissance
Point de vue Point de vue Balados Blogues Conseils de gouvernance Enquête annuelle auprès des chefs de direction Hub de Risque et conformité Hub d’IA générative La technologie infonuagique, un aperçu Stratégie Villes intelligentes
Secteurs d’activité Secteurs d’activité Aérospatiale et défense Assurance Banques et marchés financiers Cannabis Divertissement et médias Énergie Énergie et services publics Gestion d’actifs et de patrimoine Investissement privé Marchés de consommation Secteur de la fabrication industrielle Secteur de l’automobile Secteur de l’immobilier Secteur des produits chimiques Secteur minier Services financiers Services gouvernementaux et services publics Soins de santé Technologie Télécommunications Transport et logistique
Services Services Alliances Conseils Données et analytique Gestion de crise et résilience Gestion de placements Mandats d'insolvabilité en cours Marchés des capitaux et services conseils en comptabilité Modélisation des risques Produits PwC Privé Réseau d’affaires japonais Risque et conformité Services d'audit et de certification Services de juricomptabilité Services fiscaux Services gérés Services juridiques Transactions
À propos de PwC À propos de PwC Alumni de PwC Canada Centre de presse Conseil d'administration Contactez-nous Éthique et code de conduite Inclusion et diversité L’approvisionnement chez PwC La Nouvelle équation Nos bureaux au Canada Nos gens Notre engagement envers la vérité et la réconciliation Notre équipe de direction canadienne Notre histoire Notre mission, notre vision et nos valeurs Nouveaux associés de 2024 Programme Femmes et leadership Responsabilité d’entreprise
Carrières au Canada Carrières au Canada Nos secteurs d’activité Carrières pour les étudiants et les nouveaux diplômés La vie chez PwC Canada Avantages sociaux, flexibilité et bien-être Communauté de talents

© 2018 - 2024 PwC. Tous droits réservés. PwC s’entend du réseau PwC et/ou d’une ou de plusieurs sociétés membres, chacune étant une entité distincte sur le plan juridique. Pour de plus amples renseignements, visitez notre site Web à l’adresse : www.pwc.com/structure.