votre clinique protège-t-elle adéquatement les DME ?
Les dossiers médicaux électroniques (DME) ont pour grand avantage de simplifier le travail des médecins de famille. Or, qui dit document numérisé, dit aussi augmentation des risques occasionnés par les activités malveillantes. Comment votre clinique peut-elle prévenir (ou guérir) ces incidents ?
Juillet 2016. Une employée de la Fédération des médecins omnipraticiens du Québec (FMOQ) constate que son ordinateur ne répond plus. C’est probablement un simple bogue informatique, croit d’abord David Smith, directeur du Service informatique à la FMOQ. Or, quelques minutes après avoir été informé du premier incident, une autre employée signale le même ennui. Dès lors, il n’y a plus de doute. La FMOQ est victime d’un logiciel malveillant.
« J’ai immédiatement débranché Internet, fermé complètement le système informatique pour que le logiciel cesse de se propager. J’ai contacté ensuite notre fournisseur pour connaître la marche à suivre et évaluer nos pertes. Heureusement, des sauvegardes effectuées une semaine auparavant (plusieurs sauvegardes sont effectuées par jour) ont permis de récupérer la plupart de nos données », raconte l’informaticien.
D’où venait ce logiciel malveillant ? Qui l’a introduit ? Depuis combien de temps était-il dans le système de la FMOQ ? Impossible de répondre à ces questions, soutient David Smith. Remarquez, il ne s’agissait pas d’un rançongiciel. Et même si tel avait été le cas, l’informaticien aurait fortement recommandé de ne pas payer la rançon.
À la suite de cet incident, la FMOQ a procédé à des changements. En plus de modifier le choix d’antivirus et de pare-feu, l’équipe de David Smith a instauré un système de filtrage de courriels pour s’assurer que chaque document, photo et lien Web reçus par les employés de la FMOQ soit blanc comme neige avant d’être ouvert.
La FMOQ est loin d’être la seule organisation à avoir subi une cyberattaque. Selon une étude de Scalar Decisions, fournisseur de services en technologie de l’information, les entreprises canadiennes font l’objet d’au moins 450 cyberattaques par année. Près de neuf entreprises canadiennes sur dix (87 %) indiquent avoir été victimes d’au moins une de ces attaques en 2017, soutient l’étude menée auprès de 420 professionnels du domaine l’automne dernier.
GoSecure, une entreprise montréalaise spécialisée en cybersécurité, dit recevoir au moins trois appels par semaine de différentes entreprises ayant subi des cyberattaques. « Ces incidents touchent autant des concessionnaires automobiles et des laboratoires scientifiques que des détaillants de vêtements. Et les cliniques médicales ne sont pas à l’abri », avertit Pascal Fortin, président directeur général de GoSecure.
La grande majorité des cyberattaques, poursuit-il, n’ont pas actuellement de cible particulière. « Les cyberescrocs cherchent au hasard à faire le plus de victimes possible », explique Pascal Fortin. Son entreprise travaille avec plus de 600 organisations au pays. Au cours des cinq dernières années, dit-il, des centres de recherches universitaires et des hôpitaux canadiens, sans les nommer, ont été victimes de rançongiciels. Pour récupérer l’accès à leurs données, ces établissements ont dû payer des rançons variant de 10 000 $ à 100 000 $, indique Pascal Fortin. « Et il s’agissait de montants négociés avec les cybercriminels qui ont tendance à augmenter leurs rançons s’ils découvrent que leurs victimes sont des organisations disposant de données et de systèmes informatiques importants », précise-t-il.
Selon cet expert, les informations personnelles identitaires se monnayent actuellement entre 25 $ et 200 $ en vertu de leurs qualités sur le Web invisible (dark Web). Cette face cachée de la toile est reconnue pour ses contenus illégaux et pour l’anonymat qu’elle offre à ses utilisateurs. C’est d’ailleurs sur ce réseau que les êtres malveillants s’échangent leurs méthodes d’hameçonnage.
Les données détenues par les organismes de la santé ne sont pas pour l’instant des cibles expressément recherchées par les cybercriminels, précise M. Fortin. « Ces derniers recherchent actuellement de l’information financière. Ils cherchent à obtenir des données sensibles et pertinentes sur l’identité de personnes dans le but de frauder des institutions financières », explique-t-il. Cette situation pourrait néanmoins changer.
Le cas très médiatisé du National Health Service (NHS), au Royaume-Uni, risque d’inspirer d’autres cybercriminels. En mai 2017, le rançongiciel WannaCry a paralysé les activités de plus d’une quarantaine d’établissements du NHS en Angleterre et en Écosse. Au total, les rançons et les mesures d’urgence mises en place ont coûté 180 000 livres sterling au NHS, soit près de 315 000 $ canadiens, a indiqué Jackie Doyle-Price, une députée du parlement britannique. D’après un article du Digital Health News1, l’incident aurait plutôt coûté plus d’un million de livres sterling (1,7 M$ CDN). Près de 15 000 rendez-vous et plus de 850 opérations ont été annulés à la suite de cet incident. Les dossiers médicaux de plus de 3000 patients se sont également retrouvés dans les mains des cybercriminels.
« Cette cyberattaque a grandement affecté les services de santé britanniques. Malheureusement, cette histoire et ses répercussions laissent présager d’autres cas de cyberextorsion qui seront éventuellement liés à la divulgation des données des patients », avertit Pascal Fortin.
Que se passerait-il toutefois si votre clinique médicale était la prochaine victime d’une cyberattaque ? Sauriez-vous comment réagir ? Êtes-vous préparés, vous et les autres employés de la clinique, à prévenir ces incidents ? Seriez-vous en mesure de protéger les renseignements personnels des patients contenus dans le DME, dont vous avez la responsabilité, face aux risques d’intrusion de logiciels malveillants et de rançongiciels ?
Plus de 85 % des médecins de famille ont adopté le DME depuis 2007. Le Collège des médecins du Québec souhaite même que l’outil devienne obligatoire d’ici la fin de l’année. « À l’heure actuelle, il y a encore trop de zones grises en ce qui concerne la responsabilité de la protection des DME », s’inquiète Christiane Larouche, avocate à la FMOQ. Selon cette experte en droit, l’accent a beaucoup été mis jusqu’à maintenant sur l’avancement des technologies. « Désormais, il faut en gérer les risques », insiste Me Larouche.
Pour se protéger adéquatement, soutient l’avocate, les médecins doivent obtenir des protections contractuelles avec leurs fournisseurs de services de technologie de l’information, notamment pour l’hébergement des données des DME. « Ce qui est très difficile à obtenir actuellement », constate Me Larouche. Les contrats avec les fournisseurs, dit-elle, peuvent ne pas être suffisamment clairs. Et plusieurs médecins vont sous-estimer les garanties qui devraient être exigées. « Pour cette raison, nous croyons à la FMOQ que le processus de certification des DME devrait être revu pour accroître la sécurité des DME. Le processus devrait notamment mieux définir ce qui est attendu des fournisseurs, ce qui n’est pas admissible, de même que la responsabilité de chacun », affirme l’avocate.
En attendant, qui peut vous aider si vous êtes victimes d’un incident ? « À titre de mutuelle de défense, l’Association canadienne de protection médicale (ACPM) peut le faire », signale la Dre Lorraine LeGrand Westfall, directrice des Affaires régionales et chef de la protection des renseignements personnels à l’ACPM. « Lorsque des problèmes médicolégaux surviennent, les membres doivent communiquer avec l’ACPM dès que possible pour obtenir des conseils et, au besoin, une assistance juridique », ajoute-t-elle.
Chaque clinique, poursuit-elle, doit prendre des mesures pour protéger son système informatique et les DME, y compris les risques d’intrusion de logiciels malveillants. Elle doit être en mesure d’atténuer les dommages que peuvent provoquer de tels logiciels.
L’ACPM, dit la Dre LeGrand Westfall, reçoit de plus en plus d’appels de la part de médecins canadiens ayant été victimes de violation de confidentialité liée au DME, de pertes ou de vols d’appareils mobiles contenant des renseignements confidentiels de patients, y compris de cyberattaques. « Ce nombre demeure marginal, mais il est en progression depuis les dernières années », concède-t-elle.
Les autorités policières et les experts en cybersécurité exhortent les victimes à ne pas verser les rançons exigées. La Dre LeGrand Westfall soutient que cette décision de payer ou non une rançon dépend de l’évaluation des risques et de l’existence de fichiers de sauvegarde fiables permettant une récupération rapide. « Quelle que soit la décision du médecin, s’il verse cette rançon, il en demeure l’unique responsable. Et le fait de verser une rançon n’offre aucune garantie quant à la possibilité de récupérer l’information occultée », dit-elle. Autrement dit, payer ou non la rançon revient au jugement du médecin responsable de la clinique.
Conscientes des nouveaux enjeux auxquels font face les entreprises, dont les cliniques médicales, les compagnies d’assurances offrent divers produits permettant de couvrir les dommages en cas d’incident cybercriminel. Actuellement, le secteur des soins de santé constitue la plus grande part des réclamations en cyberresponsabilité (40 %) en Amérique du Nord. C’est ce que soutient un rapport de la Chambre de commerce du Canada sur la cybersécurité, publié en avril 20172. En 2011, révèle ce rapport, seulement le tiers des entreprises souscrivaient un tel produit. Aujourd’hui, ce sont près de sept entreprises sur dix qui le font. La valeur des primes d’assurance qui était évaluée à 2,5 milliards de dollars en 2014 devrait atteindre 7,5 milliards de dollars en 2020 à l’échelle du globe.
Selon Brian Kelly, courtier en assurances de dommage des entreprises chez BFL Canada, ces protections en cyberresponsabilité sont encore peu connues. Par conséquent, elles sont sous- ou mal utilisées par les petites entreprises. Combien peut coûter une telle police ? « Une protection complète dont la couverture peut varier de 500 000 $ à 1 000 000 $ peut représenter entre 2500 $ et 5000 $ par année pour une clinique médicale qui compte entre 2500 et 5000 patients », selon M. Kelly.
Ce type d’assurance, souligne M. Kelly, inclut généralement la protection pour les coûts des événements de sécurité réseau, les interruptions d’activités réseau, les coûts réglementaires, les amendes liées aux paiements de carte de crédit, les coûts d’évaluation, la cyberextorsion, la responsabilité cybernétique ainsi que la couverture de services en gestion de crise. « Un élément essentiel pour réduire le plus possible les répercussions et accroître la confiance des patients », indique le courtier.
Il existe diverses manières de réduire les risques d’infection, signale l’ACPM. La première : apprendre à reconnaître et à éviter les fraudes par hameçonnage. N’ouvrez jamais les fichiers joints à des courriels non sollicités. « La prévention a bien meilleure saveur », soulève la Dre LeGrand Westfall.
« Le plus grand risque demeure l’utilisateur à 30 centimètres de l’écran », maintient le Dr Yves Robert, secrétaire et porte-parole du Collège des médecins du Québec. La responsabilité incombe aux administrateurs des cliniques médicales de sensibiliser le personnel qui se sert d’Internet et qui accèdent aux dossiers des patients.
Le principal problème dans les organisations demeure toutefois ce manque de sensibilisation du personnel. « Chaque employé doit comprendre les raisons pour lesquelles l’organisation met des mesures de sécurité en place », indique Théo Zafirakos, chef de la sécurité de l’information chez Terranova, une firme spécialisée dans les campagnes de sensibilisation sur la sécurité de l’information auprès des employés.
Les cybercriminels, explique-t-il, ont désormais recours à des techniques de plus en plus sophistiquées. « Ils savent que vous ou vos employés allez être distraits, curieux, peut-être même stressés ou soucieux d’être productifs. Ce sont autant de facteurs qui vont vous inciter à cliquer sur des courriels, des liens ou des images qui peuvent être malveillants », fait savoir M. Zafirakos. Selon le fabricant américain de logiciels Symantec, ce sont les fausses factures en pièce jointe de format PDF qui remportent la palme du leurre le plus efficace. Le document qui prétend dévoiler la liste des salaires des employés obtient aussi beaucoup de succès comme leurre, ajoute M. Zafirakos.
Les cybercriminels vont augmenter le nombre d’attaques pendant les moments de l’année où le stress et la distraction atteignent des degrés élevés, notamment lors du temps des fêtes ou de la période des impôts ou encore pendant les périodes d’élection ou de référendum, indique l’expert de Terranova.
« On recommande aux organisations d’effectuer à l’occasion un test de simulation. On les invite d’ailleurs à inclure un volet sécurité dans le rapport d’évaluation du rendement de leurs employés. Ces derniers doivent être conscients du rôle qu’ils occupent en matière de protection des données de l’organisation, et plus particulièrement des dossiers médicaux électroniques. On suggère même aux organisations de récompenser les employés qui, au cours des tests de simulation, signalent la réception de courriel malveillant. » //
Les cliniques médicales peuvent bien prendre toutes les précautions possibles en matière de cyberresponsabilité, mais que peuvent faire les médecins pour empêcher toute utilisation non autorisée des données des DME, que ce soit à des fins commerciales ou autres ?
Des médias ont récemment rapporté que le logiciel d’un fournisseur semblait être en mesure de reconnaître certains patients et de suggérer au médecin la prescription d’un médicament moins cher, ce qui laisse entrevoir un partenariat avec un assureur. Un partenariat destiné à réduire le coût des ordonnances.
La FMOQ prend très au sérieux de tels incidents quand nos membres nous le signalent, indique Christiane Larouche, avocate de la FMOQ. « Nous insistons pour qu’un suivi s’effectue au bureau d’homologation des DME du MSSS. Le dossier fait maintenant l’objet d’une enquête à la Commission d’accès à l’information. Nous sommes convaincus que la meilleure prévention demeure le processus de certification qui devrait prévoir l’interdiction de tels agissements. »
De son côté, le Collège des médecins du Québec constate l’absence de règles, ce qui permet aux fournisseurs de profiter de la situation. « Il faudra une loi pour encadrer l’accès aux données des DME », affirme le Dr Yves Robert, conscient que l’application de cette mesure éventuelle entraîne tout un débat.
Outre les compagnies d’assurance et les entreprises pharmaceutiques, les chercheurs à l’échelle de la planète veulent aussi accéder aux données des DME sous forme non nominatives, souligne le Dr Robert. Le danger, dit-il, c’est que l’intelligence artificielle propose déjà des outils qui permettent de « nominaliser » à nouveau des métadonnées non nominatives, « ce qui présente des risques élevés sur le plan de la confidentialité », s’inquiète le directeur général du Collège.
L’affaire Facebook et Cambridge Analytica, conclut-il, permet justement de soulever toute la pertinence de la nécessité pour le MSSS de veiller à la protection des données contenues dans les DME. « Internet n’est pas un secteur réglementé. Et je doute que cela devienne « réglementable » ! À nous de prendre les bonnes mesures. » //
1. DigitalHealth. WannaCry emergency measures cost central NHS agencies £180,000. Londres ; juillet 2017.
2. La chambre de commerce du Canada. Cyber Security in Canada : Practical Solutions to a Growing Problem. Ottawa ; mars 2017.