La cybercriminalité représente une menace de plus en plus grave pour les cliniques dentaires. En fait, 61 % des organisations canadiennes interrogées ont déclaré avoir subi une attaque d’un rançongiciel en 2021. Si les données des patientes et patients ont été touchées par une cyberattaque (provenant par exemple d’un rançongiciel), il peut être impossible de fournir des soins dentaires en toute sécurité. Si les systèmes informatiques ou les défenses procédurales d’une clinique dentaire cèdent à une cyberattaque, savoir comment y réagir devient d’une importance cruciale.
Espérer que tout ira pour le mieux, mais se préparer au pire. Que faire en cas d’attaque d’un rançongiciel?
La cybercriminalité représente une menace de plus en plus grave pour les cliniques dentaires. Voilà une vérité qui dérange! Les statistiques surprennent; par exemple, 61 % des organisations canadiennes interrogées ont déclaré avoir subi une attaque d’un rançongiciel en 2021[1]. Si l’on tient compte d’autres types de cyberattaques, comme l’hameçonnage et les méfaits de logiciels malveillants, 86 % des entreprises canadiennes ont déclaré avoir été compromises (rien qu’en 2021) par au moins une attaque réussie. Les cliniques dentaires, qui sont légalement tenues de conserver de l’information sensible sur leurs patientes et patients pendant des années, constituent des cibles attrayantes pour les réseaux de cybercriminels (également connus sous le nom d’« auteurs de menace »).
Les statistiques qui portent à réflexion ne manquent pas. Les études de cas terrifiantes abondent également. Récemment, pour ne citer qu’un exemple, un hôpital canadien pour enfants n’a pas pu accéder aux dossiers de ses patientes et patients en raison de cyberattaques[2]. La cybercriminalité, qui était à l’origine une industrie artisanale, est aujourd’hui un secteur redoutable. Au cours des dernières années, diverses organisations criminelles sophistiquées ont vu le jour, dont certaines se vantent d’avoir des « modèles d’affaires » ciblant précisément les établissements de santé[3].
Bien sûr, la profession dentaire dispose d’outils pour affronter ce problème. Il existe des ressources sur la manière de gérer les cyberrisques qui sont axées sur la façon de prévenir les cyberattaques les plus courantes. L’Agence pour la cybersécurité et la sécurité des infrastructures (CISA) du gouvernement américain propose un guide à ce sujet[4]. Si celui-ci vous semble intimidant, de nombreux articles (rédigés en langage courant) énumèrent les meilleures pratiques actuelles pour les cliniques dentaires, telles que la mise en œuvre d’un système de détection et d’intervention sur les terminaux (EDR) allié au soutien d’un fournisseur de services de sécurité gérés (FSSG)[5]. La prévention est sans aucun doute la meilleure stratégie à adopter, et j’invite les exploitantes et exploitants ainsi que les propriétaires de cliniques dentaires à examiner et à prendre en compte les renseignements fournis dans ces ressources. Les membres des cliniques dentaires n’ont pas besoin d’être des spécialistes en cybercriminalité; toutefois, les équipes qui ne font pas leurs devoirs n’auront aucun moyen de savoir si leur partenaire informatique actuel effectue un travail adéquat pour se préparer à une éventuelle cyberattaque et la prévenir.
En effet, les dépositaires des dossiers des patientes et patients (et ceux et celles qui dépendent du bon fonctionnement d’une clinique dentaire) doivent se préparer au pire. Si les défenses d’une clinique dentaire échouent (ou s’avèrent inadéquates) face à l’évolution des cybermenaces, savoir comment y réagir devient d’une importance vitale. Une réponse efficace aux rançongiciels protégera les renseignements des patientes et des patients de la clinique, la viabilité opérationnelle, ainsi que la réputation des professionnelles et professionnels de la santé concernés. Si vous arrivez à votre clinique un matin et que vous constatez que vos fichiers ont été cryptés, les étapes ci-dessous vous guideront.
1. Déterminer l’ampleur de la menace et l’isoler.
Toutes les cyberattaques ne sont pas identiques. Selon le point d’entrée et le mécanisme du logiciel malveillant qui a infecté vos systèmes, les renseignements touchés peuvent être localisés sur un seul poste de travail ou un groupe de postes de travail. En outre, les auteurs de la menace et les technologies qu’ils emploient tenteront de compromettre et d’infecter tous les réseaux, serveurs et postes de travail connectés. Il est donc essentiel de s’assurer que les sauvegardes du système sont isolées du réseau principal de la clinique. Lorsque des logiciels malveillants sont découverts, il faut tout d’abord maîtriser l’ampleur du problème et empêcher le virus de se propager. Le pire scénario serait de croire à tort que le virus a été isolé, pour découvrir ensuite qu’il était en dormance quelque part dans le réseau et qu’il a infecté les sauvegardes. Pour éviter que la situation ne s’aggrave, il convient d’appeler en premier lieu le fournisseur de services informatiques et le personnel de soutien à la cybersécurité de la clinique.
2. Remédier aux risques cliniques éventuels.
Si les données des patientes et patients ont été touchées par une cyberattaque d’un rançongiciel, il peut être impossible de fournir des soins dentaires en toute sécurité. Par exemple, si la clinique n’a pas accès aux antécédents médicaux, aux plans de traitement et à l’imagerie diagnostique des patientes et patients, le risque de procéder à des chirurgies dentaires effractives est considérablement accru. Dans ce cas, il n’y a parfois pas d’autre solution que de retarder les interventions non urgentes ou de faire en sorte que les patientes et patients soient traités dans d’autres cliniques. Bien que la décision de reporter des rendez-vous soit difficile à prendre, la dentiste ou le dentiste doit donner la priorité aux intérêts de sa patientèle. En cas de doute sur la possibilité de traiter des patientes et patients en toute sécurité dans de telles circonstances, il serait judicieux de communiquer avec le College of Dental Surgeons of Saskatchewan (CDSS) pour lui demander conseil.
3. Déterminer si la vie privée des patientes et patients a été violée.
On pourrait penser que chaque attaque réussie d’un rançongiciel dans une clinique dentaire constitue une violation de la vie privée des patientes et patients, mais ce n’est pas toujours le cas. Il est tout à fait possible que le système de gestion d’une clinique soit verrouillé ou crypté par un rançongiciel sans que les auteurs de la menace accèdent aux données des patientes et patients ou les volent (exfiltration). De nombreux rançongiciels se contentent de faire payer les cliniques dentaires paralysées en échange d’un code de décryptage. Celui-ci permet aux cliniques de déverrouiller les documents concernés et d’accéder à nouveau à leurs dossiers de patientes et patients. Votre fournisseur de services de technologies de l’information doit examiner les journaux de votre pare-feu pour déterminer sur quels serveurs et postes de travail des données ont été exfiltrées. Il est important de se rappeler que même si le système de gestion de votre clinique n’a pas été compromis ou exfiltré, des renseignements sur les patientes et patients, comme des noms et des adresses, peuvent tout de même se trouver sur vos postes de travail ou d’autres serveurs de fichiers. Si aucune donnée sur les patientes et patients n’a été divulguée et que la clinique dispose d’une sauvegarde viable, il peut être possible de reprendre ses activités sans encombre.
4. Si des données ont été violées, contenir cette violation et mettre en œuvre un protocole de réponse.
Le Commissariat à l’information et à la protection de la vie privée de la Saskatchewan, qui supervise l’application de la Health Information Protection Act (HIPA), la loi sur la protection des renseignements personnels de la province, a publié des lignes directrices sur l’atteinte à la vie privée à l’intention des dépositaires[6]. Selon ces lignes directrices, en cas d’atteinte à la vie privée d’une patiente ou d’un patient, « la meilleure pratique consiste à aviser les personnes concernées et le Commissariat à l’information et à la protection de la vie privée [traduction] ». Lorsque le nombre de patientes et patients dont les données ont été touchées est faible et discret, une dentiste ou un dentiste ou une exploitante ou un exploitant de clinique dentaire peut suivre les lignes directrices fournies par le Commissariat à l’information et à la protection de la vie privée. Lorsque des centaines ou des milliers de dossiers sont concernés, il serait judicieux de communiquer rapidement avec une avocate ou un avocat spécialisé dans la protection de la vie privée. Le fait de ne pas avertir les personnes et les parties prenantes nécessaires, y compris le CDSS et la police, ou encore de le faire, mais de manière inadéquate, peut engendrer une nouvelle crise. Il est à noter que la Gendarmerie royale du Canada (GRC) surveille régulièrement la présence des cybercriminels sur le Web. Et comme ces derniers annoncent souvent l’identité des entreprises qu’elles ont compromises, la police peut être avisée de la violation avant que la clinique ne communique avec elle. Les spécialistes en droit et en relations publiques offrent des services inestimables aux entreprises qui traversent une telle crise pour la première fois. Il est important de ne pas affronter de telles situations sans chercher de l’aide.
5. Payer la rançon ou non?
Une fois que des auteurs de menace ont volé des données de patientes et patients, ils peuvent exiger une « double rançon » ou un paiement. En échange, ils promettent de ne pas publier les dossiers des patientes et patients de la clinique sur le Web caché. Il s’agit d’une manière de fonctionner qui est de plus en plus fréquente et qui place les cliniques dentaires dans une situation extrêmement difficile. D’une part, payer la rançon revient à financer une organisation criminelle malveillante et à démontrer aux auteurs de menace que cibler les cliniques dentaires est lucratif. D’autre part, une entreprise de soins de santé devrait faire tout ce qui est en son pouvoir pour empêcher la publication en ligne des dossiers de ses patientes et patients. Comme indiqué ci-dessus, il est conseillé de consulter une avocate ou un avocat spécialisé dans la protection de la vie privée. En outre, il existe des agences tierces qui emploient des spécialistes en cybersécurité et des professionnelles et professionnels de l’informatique judiciaire qui ont mené des recherches approfondies sur les principaux acteurs du monde des rançongiciels. Ces organisations peuvent aider à négocier la destruction des données volées des patientes et patients. Elles peuvent être en mesure d’indiquer quels collectifs de rançongiciels sont connus pour respecter un « code d’honneur », c’est-à-dire ceux qui ont la réputation de détruire les renseignements volés après avoir reçu le paiement. Chaque fois que des données sont exfiltrées, il faut envisager d’en informer les patientes et patients concernés. Si une clinique choisit de ne pas payer la rançon et que les données des patientes et patients sont publiées, elle devrait, d’un point de vue éthique, les prévenir. En fonction des données divulguées, il peut être judicieux de leur fournir une protection contre l’usurpation d’identité.
6. Terminer l’enquête et prévenir de futures attaques.
Une fois la phase d’urgence du cyberévénement passée, plusieurs étapes restent à suivre. Il faut maintenant mener une enquête plus approfondie sur la manière dont le logiciel malveillant a pu pénétrer les systèmes de défense de la clinique et combler les lacunes dans ses technologies ou ses processus. Cet exercice n’a pas pour objectif d’être accusatoire. Toutefois, il est légitime de se demander si le soutien informatique que vous avez reçu avant et pendant l’attaque aurait pu être de meilleure qualité. Former le personnel de la clinique à éviter les tentatives d’hameçonnage ou le téléchargement de virus doit faire partie du plan correctif. En effet, une formation sur la cybersécurité destinée au personnel de la santé doit être dispensée périodiquement et être comprise dans l’intégration des nouvelles recrues de l’équipe. Une fois que la clinique a repris ses activités, il peut être tentant d’essayer d’oublier l’affaire et d’espérer que la situation ne se reproduira pas. Il s’agit d’une impulsion compréhensible, mais à éviter. Le Commissariat à l’information et à la protection de la vie privée indique que, même s’il n’est pas obligatoire de signaler les incidents de manière proactive, « il convient de préparer un rapport d’enquête sur les atteintes à la vie privée [qui cerne] les causes profondes de l’incident et celles qui y ont contribué [traduction][7] ». L’analyse de ces enquêtes et des causes profondes est essentielle pour aider une clinique à prévenir d’éventuelles attaques.
7. Veiller à ce que les renseignements personnels sur la santé des patientes et patients soient stockés dans un seul endroit approprié.
Enfin, la direction de la clinique doit réfléchir à la manière dont elle traite les renseignements personnels sur la santé de ses patientes et patients. Les documents contenant ce type de renseignements doivent être stockés dans le système de gestion de la clinique et nulle part ailleurs. Les documents de travail temporaires contenant des renseignements personnels sur la santé des patientes et patients, comme les rapports des comptes débiteurs, doivent être supprimés et détruits après leur utilisation. Les lettres fournissant des rapports de spécialistes, par exemple, doivent être téléversées dans le centre de documents du système de gestion de la clinique pour les patientes et patients concernés, puis détruites. Plus le nombre d’endroits où sont stockés les renseignements personnels sur la santé des patientes et patients est élevé, plus le risque auquel s’expose la clinique est grand.
[1] Cyberedge Group, 2021. Cyberthreat Defense Report : https://cyber-edge.com/wp-content/uploads/2021/04/CyberEdge-2021-CDR-Report-v1.1-1.pdf.
[2] Ransomware attack delays Toronto’s SickKids lab results, systems could be offline for weeks, 22 décembre 2022. Global News : https://globalnews.ca/news/9367174/ransomware-attack-sickkids-toronto/.
[3] Royal & BlackCat Ransomware: The Threat to the Health Sector – January 12, 2023. Health Sector Cybersecurity Coordination Center : https://www.hhs.gov/sites/default/files/royal-blackcat-ransomware-tlpclear.pdf.
[4] Ransomware Guide : https://www.cisa.gov/stopransomware/ransomware-guide/.
[5] How dentists can protect themselves from the cyberattack epidemic. Chris Jordan, 7 juillet 2021 : https://www.dentaleconomics.com/money/article/14206308/how-dentists-can-protect-themselves-from-the-cyberattack-epidemic.
[6] https://oipc.sk.ca/resources/resource-directory/privacy-breach-guidelines-for-trustees/.
[7] https://oipc.sk.ca/resources/resource-directory/privacy-breach-guidelines-for-trustees/.