Chirurgies reportées ou annulées, rendez-vous de chimiothérapie manqués, outils de diagnostic rendus inutiles, les salles d’urgence ne pouvant offrir que les soins les plus élémentaires. C’est la réalité d’une cyberattaque moderne dans le domaine des soins de santé et elle se produit avec une fréquence et une gravité accrues partout au Canada.
Cela ne fera qu’empirer si nous n’agissons pas maintenant.
Cette semaine, le
Centre canadien pour la cybersécurité signalé
qu’il y a eu 235 incidents de ransomware contre des victimes canadiennes jusqu’à présent cette année
qu’il connaît
, avertissant que la plupart des attaques ne sont pas signalées.
Les experts de la société de cybersécurité Emisoft ont vu jusqu’à 4 000 échantillons de ransomware d’organisations canadiennes jusqu’à présent cette année.
En outre, les attaques mondiales de ransomware ont augmenté de 151% au premier semestre 2021 par rapport au premier semestre 2020 et les soins de santé se sont révélés être une cible de grande valeur pour les cybercriminels.
Les hôpitaux et les instituts de recherche en santé hébergent des données extrêmement précieuses. Les criminels savent que s’ils refusent l’accès à ces données – ou aux systèmes numériques qui permettent les soins de santé modernes, ils causeront suffisamment de douleur pour que la probabilité d’un paiement soit élevée.
Ils savent que notre infrastructure informatique de soins de santé est ancienne et n’est pas conçue en tenant compte des normes de sécurité d’aujourd’hui.
Ils savent également que le système de santé canadien manque cruellement de ressources en termes de temps et d’opportunités pour le personnel surmené d’accéder à la formation en cybersécurité. C’est une tempête parfaite de vulnérabilité et d’opportunité.
Cependant, ce n’est pas seulement une question de sécurité, c’est aussi une question de sécurité des patients. Les cyberattaques peuvent perturber les procédures qui sauvent des vies, nous voler nos données de santé personnelles et prendre en otage des équipements tels que des moniteurs cardiaques, des stimulateurs cardiaques et même des systèmes de données entiers jusqu’à ce qu’une rançon soit payée.
On ne peut pas s’attendre à ce que notre système de santé continue à lutter seul contre le fléau croissant des cyberattaques. Le Canada doit mieux soutenir notre système de santé alors qu’il s’adapte aux besoins croissants en matière de sécurité.
Depuis le début de la pandémie, plus de 400 hôpitaux en Amérique du Nord ont été paralysés par des cyberattaques. Cela comprend deux attaques distinctes dans la région d’Ottawa au cours des deux derniers mois à l’hôpital du district de Kemptville et au Centre de santé Rideau Valley. Cela fait partie d’une tendance mondiale où les attaquants prennent en otage des systèmes et des données en échange de paiements d’extorsion de plusieurs millions. La récente attaque contre le système de santé de Terre-Neuve-et-Labrador est une preuve crédible du besoin urgent d’agir à l’échelle nationale en matière de cybersécurité.
Notre urgence nationale en matière de cybersécurité des soins de santé nécessitera plus de ressources que ce qu’un hôpital, un système de santé ou une province ou un territoire peut gérer seul. Cela nécessite une réponse fédérale.
Dans un premier temps, le gouvernement fédéral doit augmenter les investissements en capital dans les soins de santé à un minimum de 0,6 % du produit intérieur brut (PIB) afin de mieux s’aligner sur les homologues de l’Organisation de coopération et de développement économiques (OCDE) du Canada. Cet investissement permettra aux hôpitaux et aux instituts de recherche en santé de moderniser les technologies existantes afin qu’elles soient mieux sécurisées et d’acheter des systèmes sécurisés à la pointe de la technologie. Cela offrira également de plus grandes possibilités de formation à la cybersécurité pour le personnel.
Deuxièmement, le gouvernement fédéral doit remédier à la pénurie de travailleurs de la santé en mettant en œuvre une stratégie nationale de ressources humaines en santé (RHS). Cela aidera les hôpitaux, les organisations de soins de santé et les instituts de recherche en santé à attirer et à retenir des professionnels de la santé et de la technologie, qu’ils pourront consacrer à la gestion de l’infrastructure de santé numérique et à l’avancement des technologies de la santé innovantes.
Enfin, le gouvernement fédéral doit adopter une position plus agressive à l’échelle internationale, comme l’ont fait les États-Unis face au fléau des ransomwares.
Nous sommes encouragés par la publication du dernier
déclaration du gouvernement fédéral sur les ransomwares
mais nous devons envoyer un message encore plus clair selon lequel les attaques numériques contre nos hôpitaux et nos systèmes de santé seront traitées par une approche pangouvernementale impliquant les forces de l’ordre et les cybercapacités militaires.
La bataille pour sécuriser notre système de santé ne se gagnera pas en s’en tenant à des approches défensives. Nous devons être prêts à réagir de manière offensive aux groupes croissants d’organisations criminelles internationales et d’États-nations qui ciblent les soins de santé au Canada.
Les gouvernements doivent travailler aussi vite que possible pour mieux comprendre le fonctionnement de l’attaque et partager efficacement ces informations à travers le pays afin que les autres puissent se protéger en temps réel contre les menaces en temps réel.
La sécurité de chaque Canadien est un enjeu national nécessitant une approche nationale. Un leadership fédéral est maintenant nécessaire pour garder les données des patients et de la recherche hors de portée des cybercriminels.
Paul-Émile Cloutier est président et chef de la direction de SoinsSantéCAN, la voix nationale des établissements de santé et de recherche en santé au Canada.
David Shipley est PDG et cofondateur de Beauceron Security Inc., une entreprise de logiciels de cybersécurité basée au Nouveau-Brunswick qui compte des clients partout en Amérique du Nord, y compris des établissements de santé au Canada.