/news/health
Navigation

Sécurité informatique: les hôpitaux vulnérables à une attaque

Plusieurs spécialistes en informatique déplorent les failles dans la sécurité des dossiers des patients

Coup d'oeil sur cet article

La prochaine attaque informatique au Québec pourrait bien frapper un centre hospitalier et mettre à risque les données médicales de milliers de patients, redoutent plusieurs experts en sécurité. 

« Je pense que la prochaine grosse nouvelle, ce sera un centre hospitalier qui va avoir les lumières fermées, et on ne pourra pas servir des gens », prédit un expert en sécurité informatique du réseau de la santé, sous le couvert de l’anonymat. 

Un réel danger 

« Le danger est réel », croit aussi Steve Waterhouse, spécialiste en cybersécurité. 

Récemment, des fuites de données personnelles ont frappé plusieurs institutions (Desjardins, Capital One, Revenu Québec). Or, des spécialistes soulignent la vulnérabilité des données médicales informatisées dans les cliniques et les hôpitaux du Québec. Ils réclament qu’on sécurise le réseau (voir ci-dessous). 

« Le dossier le plus sensible que tu ne veux partager avec personne, c’est ton dossier médical », ajoute la source. 

En plus des menaces externes, le risque augmente dans les hôpitaux, où des centaines d’employés ont accès au système. 

« On n’est pas à l’abri de ça. Si une infirmière ou un médecin [...] qui a des accès élargis décide d’aller chercher des dossiers de patients et de les vendre sur le dark web, il va pouvoir le faire », avoue Daniel Bouffard, directeur adjoint à l’exploitation des services au Centre intégré universitaire de santé et de services sociaux de l’Estrie. 

Depuis quelques années, des hôpitaux partout dans le monde font l’objet de cyberattaques. En 2017, des tests médicaux ont dû être repris au Québec en raison du virus « Wannacry ». (voir ci-dessous

De faux résultats 

Théoriquement, les malfaiteurs pourraient accéder aux dossiers médicaux et changer des résultats d’examens sans que personne s’en aperçoive. 

Des systèmes complets pourraient aussi être éteints (prise de rendez-vous, horaires de chirurgie), compliquant le fonctionnement de l’hôpital. Des appareils médicaux sont aussi à risque d’être piratés. 

« Ils mettent nos vies à risque s’ils sont “hackés” », dit une source. 

« Si j’étais bénéficiaire d’une pompe à insuline, je serais très nerveux », dit M. Waterhouse. 

« On entend tellement de priorités... qu’il faut s’occuper des gens d’abord, des salles d’attente... C’est sûr que la sécurité de l’information passe loin, loin dans les priorités », souligne Guy Bégin, professeur en informatique à l’Université du Québec à Montréal. Il va suffire d’une attaque pour nous amener à cette réflexion-là. » 

Selon deux sources, des hôpitaux québécois ont été victimes d’attaques de « rançonnage » cette année, mais c’est « la loi de l’omerta ». 

Aucun vol de données 

Au ministère de la Santé et des Services sociaux (MSSS) et à la Régie de l’assurance-maladie du Québec, on assure qu’aucun vol de données de dossiers médicaux n’a été répertorié et que toutes les tentatives ont échoué. Dans l’éventualité d’une rançongicielle, la politique est de ne pas payer puisque les données sensibles font l’objet d’une sauvegarde. 

Quant à la fiabilité du système, la porte-parole du MSSS a écrit que « la sécurité informatique est au cœur des préoccupations » et a dit être « toujours alerte face aux menaces ». Or, aucun spécialiste du sujet au MSSS n’a souhaité répondre au Journal.  

 ► Le budget annuel destiné à la sécurité informatique au MSSS est de 9,7 millions $. 

  

 EXEMPLES DE CYBERATTAQUES DANS LE RÉSEAU DE LA SANTÉ 

 Au Québec  

  •  Une trentaine de sites internet de quatre organisations du réseau de la santé de Montréal ont été la cible d’une attaque en décembre 2018 et ont été fermés quelques heures. 
  •  Le virus mondial « Wannacry » a affecté des hôpitaux, dans 150 pays en 2017, dont plusieurs au Québec à l’été 2017. Résultat : plusieurs tests médicaux ont dû être repris. 
  •  848 322 962 courriels potentiellement malicieux ont été bloqués au MSSS entre 2014 et 2019. Il s’agit de pourriels, de campagnes d’hameçonnage, de virus et autres codes malicieux.  

 Ailleurs  

  •  Ontario : plusieurs hôpitaux ontariens ont été infectés d’un virus en janvier 2019, forçant l’annulation de traitements de cancer. 
  •  New York : 6000 ordinateurs du Centre médical Erie County ont été fermés en raison d’une attaque informatique en 2017. Le Centre n’a pas payé la rançon (30 000 $), mais les dommages financiers liés à l’événement ont coûté 10 M$. 
  •  Californie : L’hôpital Hollywood Presbytarian, à Los Angeles, a payé une rançon de 17 000 $, en janvier 2016, pour récupérer l’accès à ses ordinateurs. 
  •  France : 120 hôpitaux du groupe Ramsay-Générale de Santé ont subi une cyberattaque par un virus, en août 2019. La messagerie et les courriels ne fonctionnaient plus, forçant le retour au stylo et au papier.  

  

 Un réseau plus sécuritaire réclamé 

 La sécurité informatique dans les centres hospitaliers doit être davantage encadrée par des lois plus strictes pour mieux protéger les patients, plaident des experts. 

 « Le système informatique n’est pas sécurisé, jure une source bien au courant du dossier sous le couvert de l’anonymat. Il n’y a pas de gouvernance, ils ne suivent pas les meilleures pratiques d’affaires. » 

 Meilleure protection 

 Actuellement, chaque établissement de santé est responsable d’assurer la sécurité des renseignements personnels, indique le ministère de la Santé et des Services sociaux (MSSS). Selon des spécialistes, les lois devraient être resserrées, et uniformisées, pour assurer une meilleure protection des données informatiques. 

 « On ne sait pas dans quelle mesure nos informations du système de santé sont numérisées, on n’a pas un portrait du degré de stockage », dit Guy Bégin, professeur en informatique à l’Université du Québec à Montréal. 

 « Ça prend de la volonté politique », dit-il. 

 Selon le MSSS, chaque établissement est responsable de faire des tests annuels pour vérifier la sécurité de son réseau. Or, des experts croient qu’un audit externe annuel, fait par une firme spécialisée, devrait être obligatoire, comme pour les finances. 

 Au Centre intégré universitaire de santé et de services sociaux de l’Estrie, un appel d’offres est en cours pour un audit de sécurité externe. Le premier depuis la fusion, en 2015. 

 « Il y a une sensibilisation de plus en plus présente », croit Daniel Bouffard, directeur adjoint à l’exploitation des services. 

 Assez d’argent 

 Par ailleurs, plusieurs experts ne croient pas que le financement soit en cause. 

 « C’est un problème de leadership politique, croit Steve Waterhouse, spécialiste en cybersécurité. Avec la quantité d’argent qu’il y a dans ce ministère-là, c’est impossible de ne pas faire mieux. Il faut que quelqu’un mette ses culottes. »  

 ► En décembre dernier, le ministre Éric Caire, délégué à la transformation numérique, a annoncé vouloir mettre en place une politique de cybersécurité.