Chirurgies annulées, rendez-vous manqués, outils diagnostic inutilisables, système d’information paralysés… Voici quelques-unes des conséquences tragiques d’une cyberattaque ciblant un hôpital.
Au cours des dernières années, le nombre et la gravité de ces offensives contre nos organisations de santé n’ont cessé de croître, au Canada comme à l’étranger. Comment expliquer une telle croissance et l’omniprésence de cette menace ?
Les données de santé valent très chères
Les hôpitaux conservent une quantité importante de données personnelles sur les patients. Il s’agit de données confidentielles (nom, adresse du domicile, diagnostics et traitements reçus, etc.) qui valent une somme significative lorsqu’elles sont revendues sur les plateformes d’échange illégales du dark web.
Selon un rapport de Trustwave, un dossier médical électronique coûtait en 2019 autour de 250 dollars américains sur le marché noir. Et ce prix aurait grimpé jusqu’à 1000 dollars en 2021. Ces données peuvent ensuite être utilisées pour des finalités commerciales abusives : faire de la publicité ciblée pour des produits de santé, appliquer une police d’assurance plus élevée à une personne jugée à risque, entre autres.
Les rançons obtenues sont faramineuses
Au cours d’une cyberattaque, les hackers prennent en otage des systèmes d’information et des données en échange du paiement de rançons de plusieurs millions de dollars. Et à cette rançon s’ajoutent pour les victimes l’ensemble des coûts technologiques et humains engendrés par l’attaque : mise à jour des infrastructures, récupération des données, paiement des experts, etc.
En 2021, un rapport de IBM annonçait que les attaques coûtaient aux entreprises en moyenne 4,24 millions de dollars par incident. Il s’agit du coût le plus élevé jamais enregistré durant la décennie passée. Basée sur une analyse approfondie de 500 organisations, l’étude d’IBM suggère aussi que les incidents de sécurité sont devenus plus coûteux et plus difficiles à contenir en raison de changements opérationnels drastiques survenus durant la pandémie. Regardons cela de plus près.
Des systèmes plus vulnérables avec la pandémie
Indéniablement, les cyberattaques ont explosé depuis le début de la pandémie de COVID-19. En 2021, plus 400 hôpitaux en Amérique du Nord ont été affectés et les attaques de rançongiciels ont augmenté de 151% par rapport à 2020. On se souvient de celles qui ont touché des hôpitaux de Montréal et d’Ottawa en plein cœur de la crise de COVID-19.
Comment expliquer une telle hausse des invasions ?
Selon les experts, plusieurs causes expliquent le gain de vulnérabilité de nos organisations de santé : la hausse du télétravail et de l’échange d’information à distance, le passage rapide à l’infonuagique, le manque de formation et de sensibilisation à la cybersécurité, etc.
Parmi ces raisons, la croissance accélérée du télétravail en est une prédominante. Selon le rapport d’IBM, près de 20 % des organisations touchées par une cyberattaque ont identifié le télétravail comme la source d’une violation, qui a d’ailleurs fini par coûter 4,96 millions de dollars aux entreprises touchées (soit 15 % de plus qu’une invasion moyenne).
Un manque structurel de ressources et d’expertises
Les pirates savent très bien que les systèmes de santé publics manquent cruellement de ressources et d’expertises en matière de cybersécurité. Et les hôpitaux canadiens et québécois n’échappent pas à cette triste réalité. Nos infrastructures informatiques sont anciennes et peu adaptées aux menaces actuelles. Qui plus est, les formations en cybersécurité sont encore très rares et non systématiques pour les professionnels du milieu de la santé.
Finalement, la tempête parfaite s’opère : une hausse des vulnérabilités due à la croissance des échanges et la multiplication des sources de données, combinée à une croissance des attaques et à la multiplicité des pirates (souvent peu professionnels) qui disposent de logiciels et outils à large diffusion pour tenter de pénétrer nos systèmes.
Rappelons-nous, les résultats des cyberattaques sont dramatiques : des rapports démontrent qu’elles entravent non seulement l’accès aux données et aux systèmes mais conduisent aussi à des retards d’ambulance, de résultats de test et de traitement. Tout ceci selon les experts mènerait à un accroissement des risques pour le patient et à une hausse de la mortalité.
Il est donc temps d’investir considérablement dans les infrastructures de pointe, le recrutement de personnels qualifiés, et bien sûr la sensibilisation et formation de tous les personnels.