May 20, 2025

Spécial - Cybersécurité dans le secteur de la santé - Parce que... c'est l'épisode 0x589!

49 minutes

Parce que… c’est l’épisode 0x589!

Shameless plug

03 au 05 juin 2025 - Infosecurity Europe

27 et 29 juin 2025 - LeHACK

12 au 17 octobre 2025 - Objective by the sea v8

10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec

17 au 20 novembre 2025 - European Cyber Week

25 et 26 février 2026 - SéQCure 2065

Description

Le Dr. Benoit Desjardins est radiologiste à l’Université de Montréal depuis mai 2023, après avoir passé 35 ans aux États-Unis. Expert mondial dans trois domaines distincts - l’imagerie médicale, la cybersécurité et l’intelligence artificielle - il a notamment travaillé comme consultant pour le FBI et siège dans d’importants comités de cybersécurité aux États-Unis. Son parcours multidisciplinaire lui permet d’apporter une perspective unique sur les enjeux de sécurité informatique dans le milieu médical.

L’ampleur des cyberattaques dans le secteur médical

Aux États-Unis, les cyberattaques contre les établissements de santé augmentent de façon exponentielle depuis 2009. Plus de 6600 brèches de sécurité touchant au moins 500 dossiers médicaux ont été documentées. La plus importante, survenue l’an dernier contre Change Healthcare, a affecté 190 millions de dossiers médicaux et touché plus de 2000 hôpitaux et 400 000 professionnels de la santé.

Selon le Dr. Desjardins, environ 94% des hôpitaux américains ont été victimes de cyberattaques, et les 6% restants ignorent probablement qu’ils ont été compromis. En réalité, tous les établissements de santé sont constamment ciblés.

Différences entre les systèmes canadien et américain

Le système de santé canadien, particulièrement au Québec, est moins ciblé pour plusieurs raisons:

Le contrôle gouvernemental offre une meilleure protection

Les établissements disposent de moins de ressources financières pour payer des rançons

Ils sont donc des cibles moins attrayantes pour les cybercriminels

À l’inverse, aux États-Unis:

Les hôpitaux fonctionnent comme des entreprises indépendantes

Ils réalisent des profits importants mais opèrent avec des marges bénéficiaires minces

Ils sont moins bien défendus et plus susceptibles de payer des rançons

Les conséquences d’une cyberattaque pour un hôpital américain

Une attaque par rançongiciel peut entraîner trois niveaux de conséquences:

Perte de fonctionnalité pouvant durer plusieurs semaines, occasionnant des pertes financières de 150 à 200 millions de dollars

Pénalités gouvernementales pour non-protection des données (5 à 100 millions de dollars)

Recours collectifs pouvant coûter des centaines de millions supplémentaires

Face à ces risques, payer une rançon de quelques millions devient souvent l’option la plus économique.

Évolution des stratégies d’attaque

Les cybercriminels sont passés du “single dipping” (simple demande de rançon) au “double dipping” et même au “triple dipping”:

Double dipping: vol de données + chiffrement du système, avec menace de publier les données volées

Triple dipping: vol, chiffrement ET modification des données médicales, avec menace de ne pas révéler quelles données ont été altérées

La modification de données médicales est particulièrement dangereuse car elle peut affecter directement les soins aux patients et potentiellement mettre des vies en danger.

La triade CIA en cybersécurité médicale

La protection des données médicales repose sur trois piliers:

Confidentialité: protection contre les fuites de données

Intégrité: garantie que les données n’ont pas été modifiées

Disponibilité: assurance de l’accès aux données quand nécessaire

Le Dr. Desjardins cite plusieurs recherches inquiétantes, notamment:

Des chercheurs israéliens ayant modifié des images radiologiques pour ajouter ou retirer des nodules pulmonaires, trompant 95% des radiologistes

Des recherches montrant la possibilité d’inclure des malwares dans les en-têtes d’images médicales

Des démonstrations d’interception et modification de données de laboratoire

Ces atteintes à l’intégrité sont particulièrement sournoises car difficiles à détecter et potentiellement mortelles si elles mènent à des traitements inappropriés.

Vulnérabilités des appareils médicaux connectés

Les appareils médicaux connectés présentent des vulnérabilités spécifiques:

Les pacemakers et pompes à insuline ont été prouvés comme étant piratables à distance

Les appareils plus anciens n’ont pas été conçus avec la cybersécurité en considération

Les contraintes de taille limitent l’ajout de mesures de sécurité robustes

Mesures de protection et évolution des pratiques

Face à ces menaces, plusieurs initiatives sont mises en place:

Exigence d’un “Software Bill of Materials” (SBOM) par la FDA pour documenter tous les composants logiciels

Implémentation de défenses multicouches suivant les standards NIST

Compartimentalisation et segmentation des réseaux hospitaliers

Protection renforcée des appareils médicaux par authentification et protocoles sécurisés

Formation des employés contre le phishing, principale cause de brèches

Le Dr. Desjardins souligne que le Québec est relativement bien protégé grâce à l’implication gouvernementale. Contrairement aux États-Unis, lorsqu’un hôpital québécois est attaqué, des équipes gouvernementales interviennent pour soutenir la défense.

Collaborateurs

Nicolas-Loïc Fortin

Benoit Desjardins

Crédits

Montage par Intrasecure inc

Locaux réels par Cybereco

...more

View all episodes

By Nicolas-Loïc Fortin et le Polysecure crew