un virus favorable aux cyberattaques
Bien que la pandémie de COVID-19 freine actuellement l’économie planétaire, elle est loin de ralentir les mauvaises intentions des cybercriminels. Et le secteur de la santé fait justement partie de leurs cibles de prédilection.
Le 16 mars dernier, le système informatique du département américain de la Santé et des Services sociaux (US Health and Human Services Department) a été victime d’une cyberattaque. Sans doute l’œuvre d’un fraudeur étranger, l’incident a été qualifié de campagne de désinformation visant à perturber la réponse des États-Unis face à la pandémie.
Il n’en fallait pas plus pour que le Centre canadien pour la cybersécurité lance une alerte à tous les organismes de santé canadiens prenant part aux mesures nationales d’intervention face à la pandémie de COVID-19. Intervenants en recherche médicale, fabricants et distributeurs de matériel médical, organismes qui élaborent les politiques, y compris l’ensemble des cliniques médicales, haussez votre garde. Les cyberfraudeurs vous ont dans leur mire.
Pour le moment, aucune hausse substantielle de cyberattaques dans le milieu de la santé n’a été observée au pays, rassure Mathieu Grignon, directeur général des opérations canadiennes chez Go Secure. Cette entreprise, qui offre des services de gestion et de consultation en cybersécurité, collabore avec plus de 600 sociétés canadiennes, dont plusieurs dans le domaine des soins de santé. « Mais la crise de la COVID-19, avertit-il, n’en constitue pas moins une source élevée de fraude. »
Selon le site américain Sophos, les quatre grands domaines les plus consultés aux États-Unis (.com, .us., .org et .info) avaient déjà enregistré, en mars dernier, plus de 3 000 nouvelles adresses Web contenant les mots « covid » ou « corona ». Entre le 8 février et le 24 mars, l’équipe de Sophos a même observé 42 578 nouvelles adresses contenant les mots « covid » ou « corona », tous types de domaines confondus. Et bien que certains de ces domaines puissent avoir été enregistrés à des fins légitimes, beaucoup sont malheureusement utilisés dans le cadre de programmes de pourriels et d’hameçonnage, indique l’équipe de Sophos. « À ce propos, tient à signaler Mathieu Grignon, une des premières adresses que Google affichait concernant la carte des cas de COVID-19 de l’Organisation mondiale de la Santé dans le monde était, jusqu’à tout récemment, un site malveillant. »
Actuellement, poursuit cet expert en cybersécurité, les pirates informatiques utilisent le nom des organismes de santé pour frauder la population. « Il faut être vigilant. Il y a des fraudeurs, dit-il, qui utilisent le nom des cliniques médicales pour envoyer aux patients un message indiquant de faux résultats de tests de dépistage de la COVID-19. Les fraudeurs vont demander aux gens un numéro de carte de crédit afin de leur faire parvenir des médicaments par la poste. Un numéro qui sera évidemment utilisé à d’autres fins », raconte Mathieu Grignon.
Ce que cet expert en cybersécurité craint toutefois le plus, c’est la situation postpandémique. « Afin de permettre le télétravail à leurs employés, plusieurs entreprises et organisations du réseau de la santé ont dû rapidement mettre en place des mesures et des services, réduisant ou éliminant alors les processus courants d’évaluation des risques. Parmi ces organisations, plusieurs n’étaient pas préparées sur le plan de la cybersécurité. Par conséquent, lorsque les portes ouvertes sur ces mesures et services devront être refermées après la crise, il restera des brèches. Ce qui risque de faire augmenter la vulnérabilité des organismes liés au secteur de la santé en ce qui a trait aux cyberattaques », avise Mathieu Grignon.
« Plus que jamais, les gestionnaires de cliniques médicales doivent être prudents en matière de cybersécurité », renchérit Lee-Anne Kennedy, directrice de la Gestion de la pratique chez Saegis. Cette filiale de l’Association canadienne de protection médicale (ACPM) gère les services et les programmes de sécurité spécialisés destinés aux médecins, aux professionnels de la santé et aux établissements.
La crise de la COVID-19, dit-elle, offre présentement des occasions parfaites pour les cyberattaques socialement conçues. « La mise en quarantaine et les mesures d’éloignement physique qui incitent actuellement les médecins à prodiguer des soins virtuels ont augmenté la vulnérabilité du système de santé canadien à un degré record », soutient Mme Kennedy. Raison pour laquelle Saegis a mis au point une formation spéciale en ligne sur la cybersécurité et la COVID-19, offerte gratuitement dans les deux langues officielles aux médecins et à leur personnel. Cette formation, qui comprend deux modules d’une dizaine de minutes, a été mise en ligne le 3 avril dernier. Le lien apparaît à la fin de l’article.
Créée pour soutenir l’ACPM dans son objectif d’améliorer la sécurité des soins de santé tout en offrant un soutien aux médecins et à leurs équipes, l’équipe de Saegis insiste sur l’importance de sensibiliser les cliniques médicales à la cybersécurité. « L’hameçonnage et les attaques de logiciels malveillants peuvent conduire à la fermeture d’établissements, de systèmes de santé et de dossiers médicaux électroniques cryptés. Il est urgent de fournir des informations pour éviter une telle situation », soutient Marie-Andrée Poudrette, responsable principale du développement des affaires chez Saegis.
Les dossiers de santé, souligne-t-elle, contiennent des informations précieuses et sensibles, telles que des informations de santé protégées et des informations d’identification personnelle, qui peuvent facilement conduire à un vol d’identité. « Selon IBM et le rapport du Ponemon Institute, les dossiers de santé volés peuvent se vendre dix fois plus cher, et même plus, que les numéros de carte de crédit volés. Nous savons que le dossier de santé d’un seul patient peut valoir jusqu’à 1000 $ sur le dark Web », soulève Mme Poudrette.
La représentante de Saegis tient à préciser que les cyberattaques présentent un risque grave pour la sécurité et la vie privée des patients. « Lorsqu’un virus de type rançongiciel tient une clinique en otage, la capacité de la clinique à soigner efficacement ses patients est grandement affectée. Dans les cas extrêmes, une violation peut avoir des effets importants sur la continuité des activités », soulève-t-elle.
De plus, une cyberattaque peut coûter encore plus cher si la clinique n’est pas assurée en matière de cyberresponsabilité, ajoute Brian Kelly, courtier en assurance de dommages des entreprises chez BFL Canada. En plus des formations sur la cybersécurité, une clinique, dit-il, a avantage à prévoir le coup. Mieux vaut payer une prime de quelques milliers de dollars par année que de faire l’objet d’une poursuite en dommages et intérêts qui, elle, risque de coûter plusieurs millions de dollars.
Lee-Ann Kennedy se fait insistante. La sécurité, dit-elle, a beau être gérée efficacement par l’infrastructure informatique d’une clinique, la technologie ne peut pas atténuer, à elle seule, le risque le plus élevé : le comportement humain. « Les cybercriminels, dit-elle, savent que les gens sont le maillon le plus faible d’une organisation de soins de santé. Ils savent que les employés se trouvent à un seul clic d’infecter les systèmes informatiques de l’ensemble de leur organisation avec des logiciels malveillants et d’autres virus. »
Les cybercriminels vont ainsi, poursuit-elle, exploiter des facteurs de la psychologie humaine comme la peur et le désir de plaire. « C’est de cette façon qu’un employé peut cliquer sur un lien dans un courriel qui, a priori, semble provenir d’un collègue, d’une organisation connue. Mais voilà, pouf ! Ce geste banal dissimule un cheval de Troie ou un rançongiciel au sein du système, permettant à un cybercriminel d’accéder directement aux serveurs de la clinique ainsi qu’aux DME des patients », explique Mme Kennedy.
Créée expressément pour les médecins et leur personnel, la formation en ligne de Saegis vient donc en aide aux cliniques afin d’augmenter leur protection. « Notre programme présente à l’équipe soignante les multiples façons dont les cybercriminels vont vouloir les cibler. »
Il est fort probable, ajoute Marie-Andrée Poudrette, que les cybercriminels vont vouloir explorer les principes de l’ingénierie sociale ou d’autres stratégies qui incitent les individus à cliquer sur un lien intégré à un logiciel malveillant ou à divulguer des informations confidentielles pouvant être utilisées à des fins frauduleuses. Des stratégies malveillantes, conclut-elle, qui deviennent particulièrement efficaces dans des environnements occupés et changeants, tels qu’une clinique médicale qui traverse une crise. //
COVID-19 : L’apprentissage en ligne sur la cybersécurité des soins de santé – À tout le personnel du secteur des soins de santé canadien.
https://saegis.solutions/fr/solutions-saegis/services-gestion-pratique