Article publié dans l'édition Automne 2019 de Gestion

La cybercriminalité ne pose pas seulement des risques financiers : les cyberattaques peuvent mettre en danger la vie de certains patients. Quels sont les principaux risques auxquels sont exposés les centres de soins de santé et comment peut-on y faire face ?

En mai 2017, des dizaines de centres  hospitaliers britanniques se sont retrouvés dans l’incapacité de fonctionner correctement après avoir perdu l’accès à leurs données informatiques. La cause : une attaque du rançongiciel WannaCry. Pendant que les pirates exigeaient de l’argent en échange du rétablissement de l’accès aux données, les hôpitaux refusaient les patients dont l’état n’était pas grave, annulaient plusieurs opérations chirurgicales et déroutaient des ambulances vers d’autres centres de soins.

Les appareils d’imagerie par résonance magnétique et les réfrigérateurs des banques de sang tombaient en panne. En tout, cette attaque a coûté plus de 130 millions de dollars au National Health Service.

LIRE AUSSI : « Système de santé : l’ère du guichet automatique »

Les centres hospitaliers canadiens ne sont pas immunisés contre ce type de méfait. En janvier 2019, deux douzaines d’hôpitaux du nord de l’Ontario ont été la cible d’un virus qui a causé de graves dysfonctionnements dans les systèmes de gestion des dossiers des patients, notamment en oncologie ainsi qu’au service d’imagerie médicale. Des traitements de chimiothérapie et de radiothérapie ont dû être reportés.

« La numérisation accroît la qualité des soins de santé mais fait apparaître de nouvelles vulnérabilités », reconnaît Paul-Émile Cloutier, président et chef de la direction de SoinsSantéCAN.

Dans un sondage réalisé en 2018 pour cet organisme porte-parole des organisations de soins de santé et des hôpitaux du Canada, huit dirigeants du secteur de la santé sur dix jugeaient que leur établissement était vulnérable  aux attaques informatiques.

De précieuses données

« Les données détenues dans le secteur de la santé présentent une grande valeur aux yeux des malfaiteurs », constate René Vergé, directeur de la confidentialité et de la cybersécurité chez PwC. L’Autorité canadienne pour les enregistrements Internet (ACEI) estime que la valeur de revente du dossier individuel d’un patient peut s’élever à 1 000 $.

Selon René Vergé, le risque le plus sérieux que courent les centres de soins à l’heure actuelle, c’est la perte de l’accès à leurs données à la suite de l’attaque d’un rançongiciel, comme au National Health Service en 2017. « Les centres de soins conservent généralement des copies de sauvegarde, hébergées hors ligne et hors site, mais les services peuvent être ralentis ou interrompus pendant plusieurs heures, voire quelques jours, afin de tout remettre en état après une attaque », explique-t-il.

Maintenant numérisés et plus fréquemment acheminés par voie  électronique, donc plus vulnérables, « les dossiers  des patients comprennent des données confidentielles qui peuvent servir à de l’usurpation d’identité, à de la facturation frauduleuse, notamment auprès du système médical et des assureurs, et même à du vol de propriété intellectuelle », ajoute Paul-Émile Cloutier. Par exemple, les pirates peuvent dérober de l’information sur des essais cliniques en cours ou sur des produits novateurs puis l’effacer des systèmes informatiques des hôpitaux ou des centres de recherche d’où elle provient.

Les centres de soins de santé pourraient aussi subir des attaques à caractère politique ou terroriste, par exemple si on cherchait à faire main basse sur les dossiers de militaires traités dans des hôpitaux civils. Croisées avec d’autres données, les informations dérobées pourraient renseigner les criminels sur les calendriers d’affectation des troupes ou sur l’état de santé de militaires haut placés, pouvait-on lire récemment dans un résumé des principaux points abordés lors du Sommet sur la cybersécurité1 de SoinsSantéCAN.

Des pirates pourraient aussi prendre le contrôle d’instruments de diagnostic ou de traitement, d’appareils de maintien des fonctions vitales et de stimulateurs cardiaques; plus grave encore, ils pourraient même couper l’alimentation électrique d’un  centre de soins.

LIRE AUSSI : « Dossier santé - Trois solutions pour un réseau plus innovateur »

Mark Gaudet, gestionnaire de produits à l’ACEI, explique que l’équipement médical connecté est particulièrement vulnérable aux cyberattaques, puisque son fonctionnement repose souvent sur des systèmes d’exploitation plus anciens. « Il est compliqué de changer les systèmes d’exploitation de ces appareils. Parfois, cela exige de les faire certifier de nouveau par les autorités, précise-t-il. Or, les vieux systèmes d’exploitation comportent  souvent des failles. »

Nouveaux risques à l’horizon

L’arrivée d’appareils s’appuyant sur l’intelligence artificielle et sur l’apprentissage profond dans les centres de soins de santé ne fera qu’augmenter l’attrait de ce secteur aux yeux des cybercriminels. Pour fonctionner et devenir encore plus efficaces, ces technologies doivent analyser d’énormes quantités de données. Par exemple, les logiciels de diagnostic de la rétinopathie diabétique « s’entraînent » à détecter des signes de maladie en analysant des dizaines de milliers d’images de rétines humaines, qu’elles soient touchées ou non par cette pathologie. Or, ces images sont tirées des dossiers de milliers de vrais patients.

« Bien sûr, les données utilisées sont anonymisées, mais il est difficile de garantir qu’on ne pourra jamais les rendre de nouveau nominales, par exemple en les croisant avec des données dénichées dans les médias sociaux ou ailleurs », souligne Marco Laverdière, avocat et chercheur associé à la Chaire de recherche du Canada sur la culture collaborative en droit et politiques de la santé. M. Laverdière ajoute que les paramètres de sécurité utilisés pour protéger les données pourraient s’avérer insuffisants pour encadrer l’utilisation des données massives. Non seulement les informations collectées seront de plus en plus nombreuses, mais elles circuleront toujours davantage dans les réseaux informatiques.

D’autres avancées technologiques multiplieront les risques dans le secteur de la santé. Par exemple, de nouvelles polices d’assurance vie proposent de collecter en temps réel des données sur l’état de santé des assurés au moyen d’appareils connectés comme l’Apple Watch. C’est le cas du programme Vitalité de Manuvie : on y offre des rabais sur les primes aux assurés qui adoptent des comportements favorables au maintien d’une bonne santé physique. Les informations transmises par les appareils connectés pourraient aiguiser l’appétit de certains pirates.

Profitez d'un rabais de 50% sur l'ensemble des abonnements de la Revue Gestion avec le code de réduction CYBER50

Organiser la défense

Les hôpitaux semblent avoir saisi l’ampleur de la menace. Un récent sondage de Statistique Canada2 a montré que 89,6 % d’entre eux utilisent des antivirus, 81,2 %, des filtres de sécurité pour les courriels, et 77,3 %, des pare-feu et autres outils de défense de leurs réseaux informatiques. Le secteur de la santé se compare en cela à celui du transport aérien, mais il accuse un peu de retard par rapport aux services publics et aux services financiers et d’assurance. Les notions de sécurité liées à l’utilisation des appareils mobiles, notamment, semblent moins maîtrisées. Seulement 54,2 % des hôpitaux ont des approches sécuritaires en la matière. Les secteurs de la finance et de l’assurance (68 %) et les services publics (60,4 %) s’en tirent un peu mieux.

« Les hôpitaux prennent les moyens pour défendre leurs infrastructures informatiques, mais ils restent tout de même à risque », relate Mark Gaudet. L’ACEI propose d’ajouter un niveau de protection supplémentaire avec un pare-feu DNS3. Grâce à des rapports sur les cybermenaces à l’échelle mondiale, cet outil peut détecter les contenus malveillants et les empêcher de s’introduire dans un réseau. Il peut aussi empêcher les logiciels pirates de communiquer avec les serveurs de commande des centres de soins pour lancer une attaque.

Toutefois, la sécurité informatique n’est pas seulement une affaire de technologie. « Les organisations investissent souvent beaucoup d’argent dans leur infrastructure informatique en négligeant l’importance du facteur humain, déplore René Vergé. Or, c’est fréquemment un utilisateur qui est à l’origine d’un bris de sécurité. C’est pourquoi la sensibilisation et la formation des employés sont cruciales. »

LIRE AUSSI : « Dossier condamnés à la cyberfragilité - La fraude à l'ère numérique »

Les responsables de la gouvernance doivent quant à eux modifier leur conception de la sécurité. Paul-Émile Cloutier admet que certains membres des conseils d’administration du secteur de la santé considèrent toujours la sécurité informatique comme une responsabilité réservée au service des technologies de l’information. « Au contraire, elle relève des administrateurs, qui doivent instaurer un système de gouvernance de la cybersécurité qui traverse toute l’organisation », insiste-t-il.

SoinsSantéCAN a récemment publié la Déclaration d’engagement pour des soins de santé cybersécuritaires afin de contribuer au renforcement de la culture de la cybersécurité dans le secteur de la santé. Cette initiative a pour but de favoriser une plus grande sensibilisation des particuliers aux risques de la cybercriminalité, un meilleur partage de l’information, des outils et des bonnes pratiques entre les intervenants ainsi qu’une collaboration accrue et plus transparente entre les organisations du réseau de la santé. L’organisme espère ainsi réduire la vulnérabilité du secteur à des menaces dont les conséquences peuvent être très graves.

Notes

1 Tenu le 22 février 2018 à Toronto, ce sommet a réuni des chefs de file canadiens et internationaux dans les domaines de la santé et de la sécurité numérique.

2 Selon l’Enquête canadienne sur la cybersécurité et le cybercrime 2017 de Statistique Canada, menée pour le compte de Sécurité publique Canada.

3 Pour une explication de ce en quoi consiste le DNS, voir p. 55, note 8.