Sécurité des soins

Amélioration de la sécurité des patients et réduction des risques

Piratage par rançongiciel : savez-vous comment y faire face?

Publié initialement en juillet 2017
17-17-F

Une journée bien ordinaire dans une clinique communautaire achalandée prend soudainement une tournure frénétique lorsque l’ordinateur de la réception affiche un message alarmant : « Vos fichiers ont été chiffrés. Pour obtenir la clé de déchiffrement, vous devez nous remettre la somme de 500 $US. » Les symboles énigmatiques qui apparaissent en pagaille dans les fichiers le confirment : la clinique vient d’être piratée par rançongiciel.

Les rançongiciels sont des logiciels malveillants qui chiffrent les fichiers électroniques, ce qui en bloque essentiellement l’accès, et seuls les pirates informatiques à l’origine de l’attaque disposent de la clé de déchiffrement. Ces pirates retiennent donc les fichiers affectés en vue d’obtenir une rançon; en d’autres mots, ils tentent de vous extorquer de l’argent pour vous en restaurer l’accès. Lorsque vous vous apercevez qu’une attaque est en cours, il est habituellement déjà trop tard; tout fichier alors en connexion avec le système informatique pourrait être compromis.

Il s’agit d’un problème qui sévit malheureusement à l’échelle mondiale et les médecins canadiens n’en sont pas à l’abri. Des membres ont fait part à l’ACPM d’événements mettant en cause des rançongiciels qui ont affecté leurs pratiques et leurs systèmes de dossiers médicaux électroniques (DMÉ) – soit des événements qui peuvent paralyser une pratique clinique et présenter des risques pour les soins prodigués aux patients.

Les rançongiciels donnent principalement lieu à deux problèmes médico-légaux. Premièrement, lorsque les professionnels de la santé ne peuvent obtenir accès à leurs dossiers médicaux électroniques (ou à tout autre fichier électronique pertinent), les soins prodigués aux patients peuvent en être affectés. Deuxièmement, puisque les rançongiciels peuvent engendrer une perte de données ou permettre à des pirates d’accéder aux renseignements personnels sur la santé que contiennent les fichiers électroniques, un incident les mettant en cause doit généralement être traité comme une atteinte à la vie privée, dans l’attente d’une enquête plus poussée.

Selon la province ou le territoire, il pourrait être nécessaire d’en aviser les personnes concernées ou le commissaire à la vie privée, ou les deux. Communiquez avec l’ACPM pour obtenir de plus amples renseignements.

Vous devez assurément prendre des mesures visant à protéger votre système informatique des logiciels malveillants et à atténuer les dommages pouvant être provoqués par un tel logiciel. Compte tenu de la myriade de façons de compromettre un système informatique, la mise en œuvre de stratégies de prévention, bien qu’essentielle, pourrait ne pas être suffisante.

Il existe diverses manières de réduire les risques d’infection. Apprenez à reconnaître et à éviter les fraudes par hameçonnage. N’ouvrez pas les fichiers joints à des courriels non sollicités. Obtenez les conseils d’experts quant à la mise en œuvre d’une approche multidimensionnelle visant à assurer la sécurité de votre système informatique, y compris l’utilisation de coupe-feu, la sécurisation des applications web et l’installation d’un logiciel antivirus à jour.1 Enfin, offrez une formation en sécurité des systèmes d’information aux membres du personnel de votre clinique pour les sensibiliser à l’existence des logiciels malveillants et aux précautions qui doivent être systématiquement prises.

Quoi qu’il en soit, une approche de prévention permettant de limiter les dommages et de remettre rapidement le système en marche à la suite d’une attaque demeure peut-être le meilleur moyen de défense. La segmentation des systèmes (c.-à-d. la configuration du réseau informatique de façon à pouvoir isoler rapidement [par déconnexion] l’une de ses composantes du reste du réseau et d’Internet) pourrait aider à prévenir la propagation de l’infection. Le fait de sauvegarder régulièrement les fichiers, de les conserver par voie infonuagique (ou encore dans un système distinct n’étant pas physiquement connecté au système principal) et de mettre fréquemment à l’essai les systèmes de sauvegarde pourrait faire en sorte d’optimiser la récupération des fichiers à la suite d’une attaque.1

La décision de verser ou non une rançon dépend de votre évaluation des risques et de l’existence de fichiers de sauvegarde fiables pouvant permettre une récupération rapide. La rançon exigée peut être importante et le fait de la verser n’offre en fait aucune garantie quant à la possibilité de récupérer l’information occultée. Lorsque les soins prodigués aux patients sont mis en danger et qu’il s’avère important de restaurer rapidement l’accès aux dossiers médicaux, le versement de la rançon constitue une option, mais ce n’est pas la seule. Des outils en ligne tels que le site nomoreransom.org (soutenu par un groupe de partenaires reconnus dans le domaine de la cybersécurité) offrent des services gratuits de déchiffrement; cependant, ces services ne permettent de déjouer que quelques types de rançongiciels. Les autorités policières et les experts de la cybersécurité exhortent les victimes à ne pas verser les rançons exigées, car les profits générés par une telle extorsion favorisent la commission d’autres actes criminels et ne font qu’accroître le nombre de victimes. En tant que membre de l’ACPM, si vous choisissez de verser une rançon, vous en demeurerez le seul responsable.

Si vous êtes victime d’une attaque par rançongiciel, vous devez avant tout communiquer avec votre spécialiste des services de technologie informatique (STI) et étudier vos options; par la suite, il serait prudent de prendre des mesures raisonnables en vue d’assurer la continuité des soins aux patients, ainsi que de vous centrer sur les besoins ou les suivis de nature urgente. Vous pouvez également signaler l’incident au Centre antifraude du Canada (www.antifraudcentre-centreantifraude.ca ou 1-888-495-8501) et communiquer avec l’ACPM pour obtenir plus de renseignements.




Référence

  1. International Association of Privacy Professionals [En ligne]. Portsmouth (NH): IAPP; 2016 Aug 22. Death, taxes and ransomware [cité le 9 février 2017]; [environ 10 écrans]. https://iapp.org/news/a/lessons-to-be-learned-from-ransomware/

AVIS DE NON-RESPONSABILITÉ : Les renseignements publiés dans le présent document sont destinés uniquement à des fins éducatives. Ils ne constituent pas des conseils professionnels spécifiques de nature médicale ou juridique et n'ont pas pour objet d'établir une « norme de diligence » à l'intention des professionnels des soins de santé canadiens. L'emploi des ressources éducatives de l'ACPM est sujet à ce qui précède et à la totalité du Contrat d'utilisation de l'ACPM.