Améliorer la prestation de soins de santé grâce à la cyberrésilience

Les hôpitaux, cliniques et autres organismes de soins de santé canadiens sont fréquemment la cible de cyberattaques¹ qui ont entraîné des retards dans les procédures médicales², des atteintes à la vie privée et des préjudices financiers et mis en danger la sécurité des patients.³

Dans le cadre de notre sondage Global Digital Trust Insights 2025, plus de la moitié (54 %) des répondants du secteur de la santé considèrent la cybercriminalité comme le principal risque à atténuer pour leur organisation. Ce résultat montre que de nombreuses personnes interrogées reconnaissent que leur organisation est vulnérable sur le plan technologique. Toutefois, pour se protéger, votre organisation doit aller au de-delà de l’atténuation des risques, pour intégrer également la cyberrésilience.

Les investissements peuvent représenter un défi pour les organismes de soins de santé dont les ressources sont limitées. Allouer des fonds à la cybersécurité au lieu d’embaucher une infirmière supplémentaire ou d’investir dans d’autres domaines de soins de première ligne peut être une décision difficile à prendre pour un hôpital ou une clinique.

À l’inverse, la mise en place de stratégies régionales ou provinciales de cybersécurité pour le secteur de la santé peut permettre de centraliser efficacement les ressources et d’accroître la résilience opérationnelle. Nous constatons actuellement que la dynamique évolue dans différentes directions à travers le pays. Dans certains cas, les provinces adoptent une approche de services partagés. On peut citer l’exemple de l’Ontario avec les programmes pilotes du Centre régional des opérations de sécurité et la transition vers les groupes de prestation locaux, qui favorisent le partage des ressources et une approche collective de la cybersécurité.⁴ Mais les autres provinces du pays recèlent également des opportunités où le leadership peut faire une différence.

En collaborant ensemble, les organismes de soins de santé peuvent renforcer leurs défenses, notamment par la numérisation sécuritaire des données sur les soins, et permettre ainsi aux équipes de santé de travailler efficacement et d’améliorer les résultats pour les patients. Cette approche peut également aider les organismes de soins de santé à affecter efficacement leurs ressources, à renforcer leur résilience et à anticiper l’évolution de la réglementation.

Nous constatons souvent un déficit important dans les dépenses sur les aspects techniques, de sécurité et de protection des renseignements personnels au sein des organismes de soins de santé. De plus, notre sondage a révélé que les organismes de soins de santé augmentent leur budget de cybersécurité à un rythme plus lent que dans les autres secteurs : 71 % des organismes de soins de santé nous ont dit que leur budget de cybersécurité augmenterait en 2025, contre 77 % des répondants de tous les secteurs. En outre, 17 % des organismes de soins de santé ont déclaré que leur budget de cybersécurité resterait inchangé en 2025, contre une moyenne mondiale de 11 %.

En quoi les organismes de soins de santé investissent-ils? Près de la moitié des dirigeants (48 %) déclarent donner la priorité à la protection des données et à la confiance dans les données. Cela montre que les organisations comprennent que la sécurisation des informations sensibles est vitale pour maintenir la confiance des citoyens et l’intégrité de la réputation, et qu’elle permet d’atténuer le risque d’interruption des services et de faciliter le partage approprié des données, ce qui peut améliorer les résultats pour les patients. Par exemple, un patient peut consentir à ce que son psychiatre obtienne des informations relatives à son récent diagnostic de cancer, mais il doit être certain que les soignants non impliqués dans son traitement ne peuvent pas accéder à son dossier.

Les répondants du secteur de la santé – comme ceux d’autres secteurs – nous ont dit qu’ils augmentaient également leurs investissements en intelligence artificielle générative (IA générative) axée sur la cyberdéfense, en particulier pour les activités de renseignement, de détection et de réponse concernant les menaces. L’IA générative peut aider à filtrer d’énormes quantités de données pour repérer les menaces critiques et renforcer les cyberdéfenses grâce à des fonctions évoluées de chasse aux menaces. Celles-ci comprennent entre autres la surveillance de la présence en ligne des dirigeants d’une organisation afin de détecter les profils usurpés ou les informations d’identification compromises.

En regroupant les investissements dans ces domaines et dans d’autres priorités liées à la cybersécurité, les organisations peuvent réaliser des économies et acquérir une plus grande maturité que si elles agissaient individuellement.

Compte tenu des contraintes budgétaires dans le secteur des soins de santé, il est essentiel d’adapter les dépenses aux risques actuels et futurs. Pourtant, les personnes interrogées dans le cadre de notre sondage ont fourni une évaluation peu encourageante de leur état de préparation à la cybercriminalité : bon nombre des menaces qu’elles jugent les plus préoccupantes sont également celles auxquelles elles se sentent le moins préparées (voir le graphique).

Les lacunes en matière de préparation aux cybermenaces dans les soins de santé

La dépendance croissante des organisations à l’égard des produits connectés, de l’infonuagique et des tiers augmente les périmètres d’attaque. Les contrôles d’accès, cloisons et autres mesures similaires peuvent réduire les menaces. Mais une véritable cyberpréparation exige des organisations qu’elles comblent les lacunes en matière de résilience et qu’elles élaborent des plans pour se remettre rapidement des attaques afin de limiter au maximum les perturbations. Les organismes de soins de santé qui se préparent adéquatement peuvent reprendre leurs activités normales plus rapidement, réduisant ainsi les perturbations des services, comme les annulations de chirurgies, les retards de diagnostic et les redirections de patients.

Les préparatifs incluent l’évaluation des technologies anciennes, difficiles à protéger, pour déterminer dans quelle mesure elles entravent les défenses de l’organisation. La bonne nouvelle est que plus de quatre organisations sur dix (43 %) accordent la priorité à la modernisation des technologies, y compris la cyberinfrastructure, dans leurs budgets. Il s’agit là d’une excellente occasion d’accroître la cyberrésilience en retirant du service les technologies d’ancienne génération, qui présentent souvent des vulnérabilités connues. Mais il est encore possible d’aller plus loin.

En unissant leurs forces, les organismes de soins de santé peuvent combler plus efficacement les lacunes en matière de résilience et maintenir la continuité de leurs opérations. Notre sondage a examiné 12 mesures de résilience concernant les personnes, les processus et la technologie et a révélé que 46 % ou moins des organismes de soins de santé ont pleinement mis en œuvre l’une de ces mesures. Voici plusieurs domaines importants dans lesquels les organismes de soins de santé peuvent collaborer pour accroître leur résilience collective (les chiffres indiquent le pourcentage de répondants du secteur de la santé qui n’ont pas mis en œuvre des mesures de résilience au sein de leur organisme) :

• Élaborer un plan de reprise des activités pour les scénarios de pertes en TI (68 %)

• Mettre en œuvre des solutions technologiques de cyber-rétablissement (64 %)

• Partager des informations avec les pairs du secteur dans le cadre d’un processus formel afin de prévenir les risques systémiques (65 %)

• Mettre sur pied une équipe de résilience dont les membres proviennent des services pertinents (p. ex., continuité des activités, cybersécurité, gestion de crise et gestion des risques (63 %).

De nouvelles règles en matière de cybersécurité et de protection des renseignements personnels concernant les organismes de soins de santé au Canada seront prochainement adoptées. Le projet de loi 194 en Ontario, ainsi que les projets de loi C-26 et C-27 au niveau fédéral, obligeront les organismes de soins de santé à renforcer leurs mesures de cybersécurité, à protéger plus rigoureusement les données des patients et à se conformer à de nouveaux règlements sur les renseignements personnels, les données de santé des patients et l’utilisation de la technologie.

Actuellement, les provinces de l’Ontario, du Nouveau-Brunswick, de Terre-Neuve-et-Labrador et de la Nouvelle-Écosse ont chacune des lois liées à la santé essentiellement similaires à la loi fédérale sur la protection des renseignements personnels et les documents électroniques (LPRPDE) en ce qui a trait aux renseignements liés à la santé. Si le projet de loi C-27 n’est pas adopté – en raison d’une élection ou pour toute autre raison –, nous nous attendons à ce que les provinces qui ont retardé la mise à jour de leurs propres règles en attendant les nouvelles règles fédérales adoptent des modifications législatives en matière de protection des renseignements personnels.

Les organismes de soins de santé comprennent que la réglementation peut être un outil puissant pour protéger les informations sensibles. Pour bon nombre d’entre eux, les règlements peuvent également entraîner des changements positifs : 76 % des répondants déclarent que la réglementation les a aidés à remettre en question, à améliorer ou à renforcer leur position en matière de cybersécurité.

Des investissements efficaces dans les contrôles de cybersécurité peuvent faciliter la recherche dans le domaine de la santé et la mise en œuvre de nouvelles technologies de diagnostic et de traitement. Sans ces contrôles, certaines organisations risquent d’abandonner ces initiatives parce qu’elles ne peuvent pas protéger les informations de manière adéquate. Les stratégies nationales et provinciales peuvent aider les organismes de soins de santé à trouver un juste équilibre entre le partage et la sécurité des données en favorisant un traitement cohérent et sûr des informations personnelles, ainsi que la mise en place d’un cadre approprié pour la communication d’informations, l’accès et le consentement.

^{1- “Cybersecurity: Cyber resiliency in healthcare,” Digital Governance Standards Institute, 2023.}

^{2- Karen Howlett and Jill Mahoney, “Two months after Ontario hospital cyberattack, many patients are left in limbo,” The Globe and Mail, 22 décembre 2023.}

^{3- Vinyas Harish, Alun Ackery, Kiran Grant, Trevor Jamieson and Shaun Mehta, “Cyberattacks on Canadian health information systems,” Canadian Medical Association Journal, 20 novembre 2023.}

^{4- Ontario Health, “Operational Direction: Participating in the Provincial Cyber Security Operating Model,” 20 juin 2023.}