Infrastructure technologique : la continuité de vos services est-elle en danger?
Yiou Huang
23 juin 2020 08:00:00

La sécurité de l’infrastructure a pour but de limiter la vulnérabilité des infrastructures et des systèmes d’information face aux menaces grandissantes. Il s’agit donc d’adopter une combinaison appropriée de mesures de sécurité, de pratiques en matière de continuité des activités et de mesures de planification de la gestion des urgences, le tout afin de veiller à ce que des procédures d’intervention adéquates soient en place pour faire face aux perturbations et aux catastrophes naturelles.
Selon plus de 31 articles de recherche, le réseau de la santé est lent à adopter les mesures nécessaires pour assurer la sécurité des données des parties prenantes, soient celles de ses employés et de ses patients. Effectivement, dans un article publié le 3 juin 2020 sur le site Web de Radio-Canada, on apprend que « le nombre de cyberattaques contre le système de santé canadien a bondi de 15% entre 2018 et 2019 ». Pour faire face à cette menace, les établissements doivent consentir un investissement financier et horaire afin de protéger leurs infrastructures technologiques et soutenir la continuité de leurs services. Malgré les recommandations tant fédérales que provinciales, ceci demeure un défi d’envergure, puisque les établissements de santé sont des organisations complexes et saturées en technologies interdépendantes.
Le réseau de la santé, une infrastructure stratégique
La sûreté des infrastructures stratégiques, dont celle du réseau de la santé, est un enjeu inévitable en matière de sécurité de l’État. Selon le ministère de la Sécurité publique du Québec, une infrastructure stratégique est une infrastructure qui fournit un service d’une grande importance pour la société. Un bris engendrerait des conséquences majeures sur la santé, la sécurité ou le bien-être des citoyens ou encore sur le fonctionnement efficace du gouvernement.
La stratégie nationale sur les infrastructures essentielles souligne qu’une panne, un bris, un virus ou une erreur humaine dans un de ces établissements pourrait mettre en péril l’infrastructure complète du réseau de la santé, selon les interdépendances du système informatique affecté. En 2019, par exemple, une panne majeure a touché cinq hôpitaux à Montréal. C’est pourquoi les CISSS et CIUSSS doivent aller de l’avant ensemble pour assurer le renforcement de la résilience des infrastructures essentielles et rendre l’industrie moins attrayante pour les cybercriminels, et donc moins fragile en cas de désastre naturel.
Cas vécus et responsabilités
Il serait dommage d’attendre qu’un désastre catalyse le changement nécessaire alors qu’il pourrait déjà être mis en place. La perte de données dans un établissement de santé serait particulièrement catastrophique, car il pourrait y avoir des erreurs médicales ayant des conséquences cliniques graves et des décès directement liés à une panne des systèmes informatiques.
Garantir la continuité des services en cas de désastre.
Le plan de continuité des activités vise à garantir la continuité des services informatiques essentiels lors d’un sinistre. Ce plan doit permettre à l’établissement de redémarrer ses activités le plus rapidement possible (RTO) avec le minimum de perte de données (RPO) en suivant des procédures établies à l’avance.
Selon Stéphane Dumont, directeur des solutions techniques chez Logibec, les bonnes pratiques dictent trois phases pour maximiser la disponibilité de l’infrastructure technologique en cas de désastre. D’abord, il faut sécuriser les données avec la copie de sauvegarde, une des composantes primordiales d’un plan de continuité. Ensuite, il est nécessaire de garder à jour la version des solutions utilisées et d’effectuer la migration ou la mise à niveau, le temps venu. Finalement, l’équipe responsable doit monter et implanter un plan et un processus de relève des systèmes informatiques.
La coopération des différents secteurs, des détenteurs de l’actif et des utilisateurs est primordiale pour le succès du plan de relève. L’analyse d’impact doit être faite par une équipe multidisciplinaire qui offrira ses analyses et son engagement. Tous les acteurs seront requis en cas de désastre.
Dans le contexte de la COVID-19
Nos spécialistes de la sécurité de l’information chez Logibec affirment qu’en temps de pandémie, « il est essentiel de ne pas oublier les bons réflexes, de tester nos plans de relève, nos sauvegardes et nos recouvrements de données. Je recommande aussi la mise en place d’exercices sur table (Security Table-Top Exercise). Il permet de mieux comprendre les rôles et les responsabilités lors d’un incident, de renforcer les synergies interéquipes, de valider les stratégies et d’assurer que le plan de continuité est bien à jour. N’hésitez pas non plus à simuler des pannes de systèmes critiques afin de valider votre capacité à vous relever et à déceler tout enjeu, tel que des copies de sauvegarde non fonctionnelles. »