Par Peter Jones, responsable du secteur des soins de santé chez Microsoft Canada
De nos jours, la cybersécurité est l’une des préoccupations les plus critiques pour les organisations de tous les secteurs d’activité qui adoptent les technologies modernes et la transformation numérique. Pour les établissements de soins de santé plus particulièrement, il peut être difficile de trouver un équilibre entre l’innovation et les exigences de conformité visant à protéger l’information sur les patients et les données confidentielles. Si la bonne technologie n’est pas appliquée, les cyberattaques risquent de produire un effet durable et d’entraver l’important travail de nos prestataires de soins de santé.
Les failles en matière de sécurité ont augmenté dans le secteur des soins de santé, en raison de l’évolution de la technologie médicale et de la transition rapide vers les dossiers médicaux électroniques (DME). Depuis le début de la pandémie, les cybercriminels s’en sont pris à ce secteur en mettant à profit ces nouveaux points d’accès.
Le gouvernement ontarien mène actuellement un projet pilote, appelé « Centre régional des opérations de sécurité (RSOC) », pour normaliser les capacités cybernétiques fondamentales. Ce projet vise à établir une approche coordonnée de la protection des informations et des infrastructures numériques de soins de santé.
Le chef de la sécurité chez Microsoft Canada, Kevin Magee, s’est entretenu récemment avec Jean-Claude Lemonde, chef de la sécurité de l’information à l’Hôpital d’Ottawa, un RSOC, pour discuter de la transformation numérique de l’établissement et des principaux enseignements tirés des récentes attaques par rançongiciel contre plusieurs établissements de soins de santé dans la province et le pays. La discussion a soulevé les faiblesses courantes et les voies d’entrée propices aux attaques dans le secteur des soins de santé, comme les systèmes anciens, le manque de personnel informatique et la complaisance à l’égard de la documentation des politiques de sécurité. Il s’agit de lacunes auxquelles M. Lemonde s’attaque au moyen de la technologie, et il a fait part de ses principaux apprentissages pour que son organisation soit toujours sécurisée.
Tirer profit de la bonne technologie : M. Lemonde attribue à la technologie liée aux points de terminaison et à l’infonuagique de Microsoft Defender le contrôle rapide de l’attaque subie et la capacité de partager avec ses institutions partenaires l’information sur les menaces. Il explique que « l’adoption de l’ensemble des outils et des applications de sécurité de Microsoft a changé la donne pour l’Hôpital d’Ottawa. En plus de nous avoir aidés à améliorer notre sécurité, ces outils nous ont permis d’économiser du temps en éliminant les tâches sans valeur ajoutée, comme la recherche d’espace de stockage pour la base de données prenant en charge Sharepoint. Nous avons réinvesti ce temps dans des projets porteurs comme l’automatisation. La plateforme Azure s’occupe de tout, ce qui nous permet de nous concentrer sur l’aide à fournir à nos utilisateurs finaux pour qu’ils puissent continuer à travailler de façon sécuritaire. »
Accorder la priorité au partage de connaissances sur les menaces : M. Lemonde a également souligné que l’une des clés de la résilience est de reconnaître qu’aucun établissement n’est une entité autonome. Le système des soins de santé en entier est interdépendant, et chaque établissement a une influence sur les autres. C’est pourquoi une plateforme commune pour échanger des informations sur les menaces doit être une priorité. L’Hôpital d’Ottawa a invité ses institutions partenaires à adhérer comme locataire à Microsoft 365 pour avoir accès à toute la technologie d’automatisation et aux services sophistiqués de Microsoft Defender. C’est ce qui permet à leur réseau d’établissements de santé le partage et l’accès à des informations sur les menaces afin d’être collectivement en position de force en matière de sécurité.
Prôner une culture de sécurité : M. Lemonde a également fait part d’un autre apprentissage important, à savoir que l’instauration d’une culture de sensibilisation à la cybersécurité au sein de l’organisation constituait une mesure capitale d’atténuation du risque. Il compte sur les dirigeants pour informer et éduquer leurs équipes sur les pratiques exemplaires en matière de sécurité et leur faire comprendre les risques que leurs actions numériques posent pour la sécurité de l’établissement. Ces dernières années, nous avons constaté un renforcement de la sensibilisation à cet égard, dû en grande partie à cette approche et à l’assurance que tous sentent qu’ils peuvent travailler de façon sécuritaire en comprenant bien le rôle de chaque personne dans la protection de l’organisation.
Lemonde conclut en expliquant que la gestion des services, la connaissance des risques et la collaboration institutionnelle sont essentielles pour prévenir la prochaine cybermenace et pour aider l’organisation à rehausser la valeur offerte à ses utilisateurs.
Il est primordial pour les organisations de se protéger contre les menaces modernes inévitables générées par la transformation numérique. En appliquant la bonne technologie, les établissements de soins de santé sont capables de déceler et de prévenir les attaques contre tous leurs points d’accès, et de se protéger elles-mêmes ainsi que leurs patients.
Pour en savoir plus sur la transformation en cybersécurité de l’Hôpital d’Ottawa, veuillez visionner le webinaire en entier ici.
