Une cyberattaque aux Pays-Bas montre que le Canada a besoin de règles nationales pour protéger les données personnelles : experts
La cyberattaque contre le système de santé de Terre-Neuve-et-Labrador est un autre signal urgent que le Canada a besoin de meilleures règles pour protéger les renseignements personnels sur la santé contre les pirates informatiques et a besoin d’un plan d’intervention unifié lorsque les services de santé sont assiégés, selon les experts.
Des vies sont en jeu et il faut agir maintenant, a déclaré Paul-Emile Cloutier, président et chef de la direction de SoinsSantéCAN, un groupe représentant des organisations telles que les hôpitaux de recherche et les autorités sanitaires.
« Je pense que nous avons environ 10 ans de retard pour examiner cela d’une manière très sophistiquée », a déclaré Cloutier lors d’une entrevue plus tôt cette semaine. « Et je pense que nous devons y accorder beaucoup d’attention, et cela doit être fait immédiatement. »
Les provinces suivent des normes individuelles pour protéger les renseignements personnels sur la santé, a-t-il déclaré, ajoutant qu’il préférerait voir des règles nationales normalisées. « Nous devons développer une stratégie nationale et vraiment avoir une réponse nationale majeure et solide pour protéger nos systèmes de santé à travers le pays », a-t-il déclaré.
Les cyberattaques visant les fournisseurs de soins de santé canadiens sont de plus en plus fréquentes et peu susceptibles de s’arrêter, a-t-il déclaré. L’hôpital du district de Kemptville, près d’Ottawa, a fermé son service d’urgence après un « incident informatique » le 20 octobre, 10 jours avant que des pirates informatiques ne prennent le système informatique de santé de Terre-Neuve-et-Labrador. Le Centre de santé Rideau Valley d’Ottawa est toujours aux prises avec un « incident de cybersécurité », indique son site Web. L’hôpital Humber River de Toronto, quant à lui, a été touché en juin.
Terre-Neuve-et-Labrador se rétablit toujours; les rendez-vous de chimiothérapie se déroulent « à une capacité réduite », et les dépistages de routine ne sont toujours pas disponibles, indique la plus grande autorité sanitaire de la province sur son site Web.
Les cyberattaques contre les infrastructures de santé numérique ne se produisent pas seulement au Canada. Une femme en Allemagne est décédée en septembre dernier après qu’une cyberattaque contre un hôpital local l’a forcée à être transférée dans une autre ville et a retardé ses soins, a rapporté l’Associated Press.
Il y a une autre préoccupation urgente : les informations personnelles sur la santé sont particulièrement sensibles, révélant parfois des détails intimes sur la santé mentale ou sexuelle des patients, a déclaré Anne Genge, directrice générale d’Alexio, une entreprise de cybersécurité basée en Ontario et spécialisée dans les soins de santé. Les informations personnelles sur la santé volées peuvent être utilisées pour faire chanter des personnes longtemps après la résolution d’une cyberattaque, a-t-elle déclaré dans une récente interview.
Aux États-Unis, les agences et les fournisseurs doivent signaler au gouvernement fédéral toute violation des renseignements personnels sur la santé affectant 500 personnes ou plus. Ces violations sont publiées sur le site Web du ministère américain de la Santé et des Services sociaux sur un site connu parmi les experts sous le nom de « mur de la honte ».
Ces règles font partie de la Health Insurance Portability and Accountability Act de ce pays, ou HIPAA, qui établit des normes nationales pour protéger les informations de santé des patients. Le Canada, cependant, n’a pas d’exigences de déclaration similaires, ni de lois fédérales sur l’information sur la santé comparables à la HIPAA, a déclaré Genge.
Le gouvernement de Terre-Neuve-et-Labrador n’a toujours pas précisé quel type d’attaque a affecté son réseau de santé, ni si ceux qui sont derrière lui ont demandé une rançon. Cependant, le gouvernement a déclaré que les renseignements personnels sur la santé de certains patients avaient été volés.
Kate Borten, présidente de Marblehead Group, une entreprise de cybersécurité des soins de santé aux États-Unis, a déclaré que l’attaque à Terre-Neuve-et-Labrador ferait certainement la coupe d’un « mur de la honte » canadien – si une telle législation existait, a-t-elle déclaré.
Genge a cité le mur de la honte comme exemple du type de responsabilité et de transparence qui devrait être exigé par la législation canadienne et provinciale.
« Le signalement n’a généralement lieu que lorsqu’il y a une grande infraction qui est évidente », a-t-elle déclaré, ajoutant qu’elle était d’accord avec Cloutier pour dire que le Canada a désespérément besoin de règles claires et applicables concernant « la collecte, le stockage, l’utilisation, la transmission et l’élimination » de la santé personnelle informations.
À l’heure actuelle, a déclaré Genge, « il n’y a pas de normalisation au niveau provincial, il n’y a pas de normalisation au niveau fédéral, sur la façon dont ils doivent l’opérationnaliser ». Il y a peu de règles sur l’audit des mesures de cybersécurité déjà en place, et « très peu de répercussions » pour ceux qui ne s’y conforment pas, a-t-elle déclaré.
La législation doit couvrir la formation des employés, y compris les employés informatiques qui travaillent dans des entreprises du secteur de la santé, a-t-elle déclaré. « Votre organisation est aussi forte que la personne qui a le moins d’intérêt à faire ce qu’elle est censée faire », a déclaré Genge.
Comme Cloutier, Genge espère également que l’attaque contre le système de santé de Terre-Neuve-et-Labrador suscitera un effort concerté rapide d’Ottawa et des gouvernements provinciaux pour commencer à rédiger et à promulguer une nouvelle législation.
Quand et si cela se produit, « Je veux monter sur le char principal pour ce défilé », a-t-elle déclaré.
Ce rapport de La Presse Canadienne a été publié pour la première fois le 17 novembre 2021.