■ Obligations et responsabilités :

Les attentes vis-à-vis des médecins

Menaces à la cybersécurité : savez-vous comment y faire face?

Rangées de cadenas virtuels, avec un cadenas rouge ouvert

4 minutes

Publié : décembre 2021

Les renseignements présentés dans cet article étaient exacts au moment de la publication
21-18-F

Les cyberattaques qui ciblent les établissements de santé, les cliniques et les cabinets de médecins sont une préoccupation croissante, et elles peuvent avoir des conséquences désastreuses pour les systèmes de soins de santé, en plus de nuire à la sécurité des patients et aux soins qui leur sont prodigués.

Les cyberattaques peuvent notamment empêcher les professionnels de la santé d’accéder aux dossiers médicaux des patients ou à d’autres dossiers électroniques. Dans certains cas, elles entraînent également la perte de renseignements ou permettent aux pirates informatiques d’accéder à des renseignements personnels sur la santé. Le cas échéant, elles doivent être considérées comme une atteinte à la vie privée. Par ailleurs, il peut y avoir d’autres conséquences pour les médecins dans les cas où une plainte est déposée en lien avec l’attaque, ou si l’incident fait l’objet d’une enquête.

Qu’est-ce qu’une cyberattaque?

Une cyberattaque, ou un incident de cybersécurité, est généralement définie comme une atteinte délibérée au système informatique d’une organisation ou d’une personne, dans un but malveillant.

  • Un rançongiciel est un logiciel malveillant qui chiffre les dossiers électroniques d’un ordinateur et empêche les utilisateurs d’accéder au contenu de leur ordinateur. Seuls les pirates informatiques peuvent alors déverrouiller les fichiers. Les pirates retiennent les dossiers en attendant le versement d’une rançon, c’est-à-dire qu’ils demandent de l’argent pour rétablir l’accès aux dossiers.
  • L’hameçonnage prend généralement la forme d’un courriel dans lequel on incite une personne à cliquer sur un hyperlien d’apparence normale, mais qui permet au pirate informatique d’accéder à des données sensibles, comme les noms d’utilisateur et les mots de passe, ou d’installer un logiciel malveillant sur l’appareil de la victime.
  • Une attaque par déni de service distribué (DDoS) consiste à submerger un réseau informatique par un flot excessif de trafic Internet afin de perturber le réseau ou provoquer la panne d’une infrastructure essentielle.

Mesures à prendre en cas de cyberattaque

  1. D’abord, il faut répondre à tout besoin urgent des patients et assurer leur suivi.
  2. Il est important de communiquer rapidement avec votre spécialiste en technologies de l’information (TI) pour revoir les faits et les options qui s’offrent à vous, y compris les mesures raisonnables qui doivent être prises pour contenir l’incident et assurer la continuité des soins.
  3. En cas d’atteinte potentielle à la vie privée, et selon la province ou le territoire, il peut être nécessaire d’informer les personnes touchées, le commissaire à la protection de la vie privée ou l’organisme de réglementation de la médecine (Collège).
  4. Communiquez avec l’ACPM pour savoir quelles sont vos obligations en matière de signalement ou pour obtenir des conseils médico-légaux connexes.

Risques médico-légaux et assistance de l’ACPM

Les cyberattaques peuvent faire l’objet de plaintes ou d’une enquête, notamment par les hôpitaux, les Collèges ou les commissaires à la protection de la vie privée. Elles peuvent également mener à des poursuites civiles.

L’ACPM prête généralement assistance aux membres dans le cadre de problèmes liés à la protection des renseignements personnels, y compris les plaintes, les enquêtes et les réclamations découlant de l’exercice de la médecine. Comme les questions concernant l’aspect commercial de la médecine ne relèvent pas du mandat de l’ACPM, l’assistance offerte par l’Association n’inclut pas, de façon générale, le paiement d’une rançon ou des coûts liés à la récupération de données, au signalement d’une atteinte à la vie privée, à une enquête judiciaire et à des problèmes matériels.

Actions préventives

Vous pouvez prendre certaines mesures pour protéger vos systèmes contre les menaces à la cybersécurité et pour limiter les dommages causés par un incident de cybersécurité.

  • Consultez un spécialiste en TI à propos des mesures de sécurité à plusieurs niveaux que vous pouvez utiliser pour protéger vos systèmes informatiques, y compris les logiciels coupe-feux, de chiffrement et antivirus les plus récents et les scanners de vulnérabilité. Assurez-vous d’installer les mises à jour de ces logiciels le plus rapidement possible.
  • Sollicitez la participation des membres du personnel de la clinique et offrez-leur une formation sur la sécurité de l’information pour les sensibiliser aux menaces à la cybersécurité et aux précautions usuelles à prendre, comme le choix de mots de passe robustes. (Saegis, une filiale de l’ACPM, propose un programme de formation sur la cybersécurité et la protection de la vie privée. D’autres organisations médicales offrent également des programmes de formation à ce sujet (p. ex. les Privacy and Security Training Modules d’OntarioMD.)
  • Sachez reconnaître et éviter les escroqueries par hameçonnage. Ne cliquez jamais sur les liens ou les pièces jointes de messages non sollicités.
  • Segmentez vos systèmes d’information (c.-à-d. configurez votre réseau informatique de sorte qu’une partie du réseau puisse être rapidement déconnectée, physiquement ou virtuellement, des autres parties du réseau et d’Internet) pour prévenir la propagation d’une cyberattaque.
  • Effectuez régulièrement des copies de sauvegarde de vos dossiers, et conservez-les dans un système distinct (physique ou sous forme de nuage) non relié au système principal. Les systèmes de sauvegarde doivent être testés sur une base régulière.

AVIS DE NON-RESPONSABILITÉ : Les renseignements publiés dans le présent document sont destinés uniquement à des fins éducatives. Ils ne constituent pas des conseils professionnels spécifiques de nature médicale ou juridique et n'ont pas pour objet d'établir une « norme de diligence » à l'intention des professionnels des soins de santé canadiens. L'emploi des ressources éducatives de l'ACPM est sujet à ce qui précède et à la totalité du Contrat d'utilisation de l'ACPM.