La direction et le manque d’argent blâmés pour la mauvaise cybersécurité dans les hôpitaux canadiens

Le plus grand obstacle à l’amélioration de la cybersécurité des hôpitaux canadiens est le « manque d’attention » de la direction et le manque d’argent, déclare le responsable du gestionnaire canadien des noms de domaine .ca.

Bryon Holland, président-directeur général  de l’Autorité canadienne pour les enregistrements Internet (CIRA), a déclaré mardi lors d’un webinaire du Globe and Mail sur la cybersécurité dans le secteur de la santé qu’un peu moins de 30 % de toutes les organisations de ce pays ont subi une violation de données.

« Si un tiers des maisons étaient cambriolées, ou si un tiers des entreprises et des hôpitaux étaient [physiquement] victimes de crimes, il y aurait un tollé incroyable« , a-t-il soutenu.

Mais dans le monde numérique, les gens ne voient pas l’impact, donc il y a peu de soutien pour plus de ressources. Les DSI et les professionnels de l’informatique du secteur de la santé expliquent au CIRA que la principale raison pour laquelle les hôpitaux ont du mal à lutter contre les cyberattaques est le « manque d’attention et d’argent » pour mettre en place des systèmes et des technologies pour faire face au volume d’attaques, a déclaré Holland.

Les directions d’hôpital ont besoin « d’une mise à niveau de l’état d’esprit », a-t-il affirmé. La cybersécurité « est un problème exécutif. Il s’agit d’un problème de PDG, de conseil d’administration, car il existe un risque de responsabilité et de fiduciaire au sommet de l’organisation ».

Ils doivent comprendre que la solution est de prendre au sérieux la sécurité holistique, qu’il s’agisse de l’installation d’une défense multicouche en profondeur, de pare-feu DNS renforcés, d’une authentification multifacteur et d’un contrôle d’accès. Ceux-ci, a-t-il dit, sont des « enjeux majeurs ».

Mais il a également déclaré que la cybersécurité « “n’est pas seulement le problème des informaticiens ».

En fait, il a affirmé que « la plupart des incidents qui se produisent actuellement sont dus au fait que des personnes sont compromises, et non à un pare-feu ou à une technologie » C’est pourquoi une formation de sensibilisation à la cybersécurité est également importante, a-t-il déclaré.

Les membres du panel comprenaient Jeff Curtis, responsable de la protection de la vie privée au Sunnybrook Health Sciences Centre de Toronto ; Steven Tam, responsable de la gouvernance des données et de la confidentialité au Vancouver Coastal Health , qui supervise tous les hôpitaux de la région de Vancouver ; et Hudda Idrees, PDG de Dot Health, un fournisseur de solutions de soins de santé mobiles pour les particuliers et les prestataires de soins de santé.

Les hôpitaux et les cliniques sont depuis longtemps la cible de pirates qui pensent que ces institutions sont plus disposées que d’autres à payer pour la restitution des données volées. Les hôpitaux et les cliniques à but lucratif sont considérés comme une source d’informations sur les cartes de crédit et de débit en plus des données médicales sensibles sur les patients. Les hôpitaux à but non lucratif n’ont souvent pas l’argent pour faire de la cybersécurité une priorité.

Les hôpitaux au Canada récemment touchés comprennent l’Hôpital pour enfants malades de Toronto et l’Hôpital Ross Memorial de Lindsay, en Ontario . Aux États-Unis, où les chaînes d’hôpitaux à but lucratif desservent des millions de personnes, Regal Medical Group, basé en Californie, envoie des avis de violation de données à plus de trois millions de patients après avoir subi une attaque de rançongiciel à la fin de l’année dernière.

L’une des pires attaques au Canada a eu lieu à Terre-Neuve-et-Labrador en 2021, lorsque des attaquants ont copié des années de données sur les patients et les employés du système provincial .

Les hôpitaux ne sont pas les seuls établissements de santé touchés. En 2019, des pirates ont accédé aux résultats de laboratoire médical de 15 millions de Canadiens lorsque LifeLabs, le plus grand laboratoire médical du pays au service des médecins, a été piraté. Les commissaires à la protection de la vie privée de l’Ontario et de la Colombie-Britannique ont déclaré que l’entreprise n’avait pas respecté les lois provinciales sur la protection des données en matière de santé.

Malgré des milliards de dollars de dépenses annuelles en soins de santé au Canada, « le financement de la cybersécurité devient de plus en plus rare », a déclaré Holland au panel.

Il a obtenu le soutien d’Indrees, qui a noté que l’Ontario à lui seul dépense 70 milliards de dollars par an en soins de santé. « Je ne pense pas que ce soit un manque de financement. C’est juste que les gens ne pensent pas que [la cybersécurité] est assez importante. » Alors que la province a mis en place un échange d’informations numériques sur la santé, elle a déclaré que les dépenses pour « des logiciels ou des formations pratiques et tangibles… font cruellement défaut ».

Les hôpitaux qui dépensent plus en informatique en général ne feront qu’exacerber le problème, a déclaré Curtis. L’argent doit être ciblé pour la cybersécurité.

Cependant, il a également déclaré que pour une meilleure sécurité, davantage d’institutions devraient adopter des systèmes partagés. Par exemple, il existe des services d’imagerie diagnostique partagés en Ontario utilisés par de nombreux hôpitaux et médecins.

Lui et d’autres ont également souligné un grave problème dans les hôpitaux canadiens : les logiciels et le matériel vétustes qui entravent l’adoption de technologies plus sécurisées.

Tam a déclaré que les PDG et les DSI des hôpitaux doivent considérer la cybersécurité comme distincte de l’informatique dans leurs budgets.

Une bonne gouvernance est également importante, a-t-il déclaré. « Nous devons nous unir pour nous attaquer collectivement à ces problèmes, identifier les risques et identifier les solutions. Si nous travaillons ensemble, nous pouvons également améliorer nos pratiques [de cybersécurité] à tous les niveaux. Nous avons un système de santé diversifié et vaste. Nous devons réfléchir à la manière dont nous gouvernons nos données et nos systèmes dans le secteur de la santé » plutôt qu’un hôpital à la fois.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Des pirates abusent d’OAuth pour automatiser des cyberattaques, selon Microsoft

Selon Microsoft, des acteurs malveillants utilisent à mauvais escient les applications basées sur OAuth comme outil d'automatisation d'authentification.

CIRA et SIDN vont créer une nouvelle plateforme de registre de domaines

L’Autorité canadienne pour les enregistrements Internet (CIRA), qui gère le domaine Internet de premier niveau (TLD) .CA, et SIDN, son homologue aux Pays-Bas qui gère le TLD .NL, ont annoncé un partenariat pour développer, promouvoir et prendre en charge la plateforme de registre CIRA.

Le Centre pour la cybersécurité émet une mise en garde après qu’un groupe indien eut lancé une menace

L'autorité cybernétique du gouvernement canadien a émis un avertissement aux administrateurs informatiques du pays pour qu'ils surveillent les attaques, après qu'un groupe ou un individu prétendant être originaire de l'Inde eut émis une menace de représailles à la suite d’allégations selon lesquelles l'Inde aurait pu être à l'origine de l'assassinat d'un Canadien militant en faveur d'un État sikh indépendant.

Le jumeau numérique : une solution transformatrice pour le système de santé selon SNC-Lavalin

SNC-Lavalin, la société d’ingénierie montréalaise bien connue, veut tirer parti de sa technologie de jumeau numérique pour s’attaquer à certains des principaux irritants du système de santé. Le but de la société : « avoir une incidence positive sur le cycle de vie 24 heures sur 24, 7 jours sur 7, des systèmes de santé ».

Les autorités suppriment l’infrastructure de Qakbot et lancent des commandes pour supprimer le maliciel

La police de sept pays, dont les États-Unis, a déclaré mardi avoir infiltré et détruit l'infrastructure derrière le réseau zombie Qakbot, puis utilisé cet accès pour commander aux ordinateurs infectés de supprimer le logiciel malveillant.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.