Spécial - Cybersécurité dans le secteur de la santé
08 avril 2025
Parce que... c'est l'épisode 0x589!
Parce que… c’est l’épisode 0x589!
Shameless plug
- 03 au 05 juin 2025 - Infosecurity Europe
- 27 et 29 juin 2025 - LeHACK
- 12 au 17 octobre 2025 - Objective by the sea v8
- 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec
- 17 au 20 novembre 2025 - European Cyber Week
- 25 et 26 février 2026 - SéQCure 2065
Description
Le Dr. Benoit Desjardins est radiologiste à l’Université de Montréal depuis mai 2023, après avoir passé 35 ans aux États-Unis. Expert mondial dans trois domaines distincts - l’imagerie médicale, la cybersécurité et l’intelligence artificielle - il a notamment travaillé comme consultant pour le FBI et siège dans d’importants comités de cybersécurité aux États-Unis. Son parcours multidisciplinaire lui permet d’apporter une perspective unique sur les enjeux de sécurité informatique dans le milieu médical.
L’ampleur des cyberattaques dans le secteur médical
Aux États-Unis, les cyberattaques contre les établissements de santé augmentent de façon exponentielle depuis 2009. Plus de 6600 brèches de sécurité touchant au moins 500 dossiers médicaux ont été documentées. La plus importante, survenue l’an dernier contre Change Healthcare, a affecté 190 millions de dossiers médicaux et touché plus de 2000 hôpitaux et 400 000 professionnels de la santé.
Selon le Dr. Desjardins, environ 94% des hôpitaux américains ont été victimes de cyberattaques, et les 6% restants ignorent probablement qu’ils ont été compromis. En réalité, tous les établissements de santé sont constamment ciblés.
Différences entre les systèmes canadien et américain
Le système de santé canadien, particulièrement au Québec, est moins ciblé pour plusieurs raisons:
- Le contrôle gouvernemental offre une meilleure protection
- Les établissements disposent de moins de ressources financières pour payer des rançons
- Ils sont donc des cibles moins attrayantes pour les cybercriminels
À l’inverse, aux États-Unis:
- Les hôpitaux fonctionnent comme des entreprises indépendantes
- Ils réalisent des profits importants mais opèrent avec des marges bénéficiaires minces
- Ils sont moins bien défendus et plus susceptibles de payer des rançons
Les conséquences d’une cyberattaque pour un hôpital américain
Une attaque par rançongiciel peut entraîner trois niveaux de conséquences:
- Perte de fonctionnalité pouvant durer plusieurs semaines, occasionnant des pertes financières de 150 à 200 millions de dollars
- Pénalités gouvernementales pour non-protection des données (5 à 100 millions de dollars)
- Recours collectifs pouvant coûter des centaines de millions supplémentaires
Face à ces risques, payer une rançon de quelques millions devient souvent l’option la plus économique.
Évolution des stratégies d’attaque
Les cybercriminels sont passés du “single dipping” (simple demande de rançon) au “double dipping” et même au “triple dipping”:
- Double dipping: vol de données + chiffrement du système, avec menace de publier les données volées
- Triple dipping: vol, chiffrement ET modification des données médicales, avec menace de ne pas révéler quelles données ont été altérées
La modification de données médicales est particulièrement dangereuse car elle peut affecter directement les soins aux patients et potentiellement mettre des vies en danger.
La triade CIA en cybersécurité médicale
La protection des données médicales repose sur trois piliers:
- Confidentialité: protection contre les fuites de données
- Intégrité: garantie que les données n’ont pas été modifiées
- Disponibilité: assurance de l’accès aux données quand nécessaire
Le Dr. Desjardins cite plusieurs recherches inquiétantes, notamment:
- Des chercheurs israéliens ayant modifié des images radiologiques pour ajouter ou retirer des nodules pulmonaires, trompant 95% des radiologistes
- Des recherches montrant la possibilité d’inclure des malwares dans les en-têtes d’images médicales
- Des démonstrations d’interception et modification de données de laboratoire
Ces atteintes à l’intégrité sont particulièrement sournoises car difficiles à détecter et potentiellement mortelles si elles mènent à des traitements inappropriés.
Vulnérabilités des appareils médicaux connectés
Les appareils médicaux connectés présentent des vulnérabilités spécifiques:
- Les pacemakers et pompes à insuline ont été prouvés comme étant piratables à distance
- Les appareils plus anciens n’ont pas été conçus avec la cybersécurité en considération
- Les contraintes de taille limitent l’ajout de mesures de sécurité robustes
Mesures de protection et évolution des pratiques
Face à ces menaces, plusieurs initiatives sont mises en place:
- Exigence d’un “Software Bill of Materials” (SBOM) par la FDA pour documenter tous les composants logiciels
- Implémentation de défenses multicouches suivant les standards NIST
- Compartimentalisation et segmentation des réseaux hospitaliers
- Protection renforcée des appareils médicaux par authentification et protocoles sécurisés
- Formation des employés contre le phishing, principale cause de brèches
Le Dr. Desjardins souligne que le Québec est relativement bien protégé grâce à l’implication gouvernementale. Contrairement aux États-Unis, lorsqu’un hôpital québécois est attaqué, des équipes gouvernementales interviennent pour soutenir la défense.
Collaborateurs
Crédits
- Montage par Intrasecure inc
- Locaux réels par Cybereco
Tags: cid, cybereco, sante
Tweet
