Cybersécurité des soins de santé et défis à venir

Les opinions qui y sont exprimées représentent les opinions personnelles du rédacteur et ne reflètent pas nécessairement les opinions de Valeurs Mobilières TD ou des membres de son groupe.

Le présent contenu vise à donner des commentaires sur le marché des produits dont il est question dans le présent document.

Le présent document ne donne pas de conseils : Les renseignements qu’il contient sont fournis à titre indicatif seulement et ne visent pas à donner des conseils ou des recommandations de nature professionnelle, de placement ou autres ni à établir une relation fiduciaire. Ni TD Securities (USA) LLC (« Valeurs Mobilières TD aux États-Unis ») ni ses sociétés affiliées (collectivement, la « TD ») ne font de déclaration ou ne donnent de garantie, expresse ou implicite, concernant l’exactitude, la fiabilité, l’exhaustivité, la pertinence ou la suffisance à toute fin des renseignements contenus dans le présent document. Certains renseignements peuvent avoir été fournis par des sources tierces et, même s’ils sont jugés fiables, n’ont pas été vérifiés de façon indépendante par la TD; ni leur exactitude ni leur exhaustivité ne peut être garantie. Vous ne devez pas prendre de décision de placement en vous fiant à ce document, qui ne vise qu’à fournir de brefs commentaires sur les sujets abordés, et qui est fondé sur des renseignements susceptibles de changer sans préavis.

Le présent document n’est pas une étude sur des valeurs mobilières ou des produits dérivés : Il n’a pas été produit, revu ou approuvé par les services de recherche sur les valeurs mobilières et les produits dérivés de la TD. L’opinion de l’auteur peut différer de celle d’autres personnes à la TD, y compris des analystes de recherche sur les valeurs mobilières et les produits dérivés de la TD.

Partialité : Les opinions exprimées dans le présent document peuvent ne pas être indépendantes des intérêts de la TD. La TD peut se livrer à des activités conflictuelles, y compris la négociation de capital avant ou après la publication du présent document, ou d’autres services portant sur des produits mentionnés dans le présent document, ou sur des produits financiers connexes. La TD peut avoir un intérêt financier dans les produits mentionnés dans le présent document, y compris, sans s’y limiter, un produit financier fondé sur de tels produits.

Le présent document n’est pas une offre ni une sollicitation : Rien n’y constitue ni ne devrait y être interprété comme constituant une offre, sollicitation ou invitation à acheter ou à vendre un produit ou un produit financier fondé sur un tel produit, et il n’est pas destiné à être distribué dans un territoire où une telle distribution serait contraire à la loi.

Risque de perte. Les opérations sur les produits et les instruments financiers fondés sur des produits comportent un risque de perte et sont soumis aux risques de fluctuation des prix. Vous devez évaluer les avantages potentiels par rapport aux risques. Le rendement passé n’est pas un indicateur du rendement futur, et le contenu de ce document ne vise pas à prévoir ni à prédire des événements futurs.

Intervenante 1 :
Bienvenue à Insights de TD Cowen. Ce balado réunit des penseurs de premier plan qui offrent leur éclairage et leurs réflexions sur ce qui façonne notre monde. Soyez des nôtres pour cette conversation avec les esprits les plus influents de nos secteurs mondiaux.
Charles Rhyee :
Bonjour, ici Charles Rhyee, analyste en distribution et technologies de soins de santé chez TD Cowen. Bienvenue à notre série de balados FutureHealth. Cette série mensuelle s’inscrit dans les efforts de TD Cowen visant à réunir des leaders d’opinion, des innovateurs et des investisseurs pour discuter de la façon dont la convergence des soins de santé, de la technologie, de la consommation et des politiques change notre façon de voir la santé, les soins de santé et le système de santé. La discussion d’aujourd’hui porte sur la cybersécurité en soins de santé. Selon le département américain de la Santé et des Services sociaux (HHS), depuis 10 ans, les violations de données signalées en soins de santé sont en hausse constante. Les signalements en 2023 ont presque doublé par rapport à 2018. Collectivement, les violations touchent une proportion plus élevée de la population américaine chaque année. Récemment, deux cyberattaques d’envergure ont affecté Change Healthcare et Ascension Health ainsi que les soins aux patients.
Ces événements amènent à se demander si les soins de santé demeurent vulnérables et que peuvent faire entreprises et organismes de réglementation pour limiter les risques. Pour en discuter, je reçois Richard Staynings. Leader éclairé, auteur et conférencier public en sécurité et soins de santé, Richard compte plus de 25 ans d’expérience. En plus d’être stratège en chef, Sécurité pour la société de cybersécurité Cylera, il enseigne au cycle supérieur en cybersécurité et informatique de la santé à l’Université de Denver. Auparavant, il a occupé divers postes de direction en cybersécurité chez Cisco, General Dynamics et PWC. Richard, merci de vous joindre à nous.
Richard Staynings :
Merci de m’avoir invité, Charles.
Charles Rhyee :
D’abord, pouvez-vous nous expliquer pourquoi le nombre de cyberattaques augmente en soins de santé?
Richard Staynings :
Il y a plusieurs raisons. D’abord et avant tout, les soins de santé sont une cible facile. Le secteur regorge de données non publiques très lucratives. On pense aux renseignements personnels permettant l’identification et aux renseignements confidentiels sur la santé. De plus, on y trouve beaucoup de renseignements liés à la propriété intellectuelle, aux essais cliniques, aux formules médicamenteuses, etc., en particulier dans les hôpitaux de recherche. Ces données précieuses sont dans la mire des criminels depuis des années, en fait, depuis plus d’une décennie. En même temps, les réseaux de soins de santé sont très mal protégés. De fait, leur structure plate facilite pour les cliniciens l’accès en tout temps et partout aux systèmes de TI et aux systèmes IdO liés à la santé. Par contre, la segmentation n’atteint pas le niveau des services financiers; les caissiers n’ont accès qu’au système utile à leurs rôles et responsabilités.
En soins de santé, les médecins ont accès à tous les systèmes du réseau. Ces réseaux ont aussi une structure plate. Leur segmentation et leur cloisonnement diffèrent de ce qu’on voit dans les services financiers ou la défense. Et le secteur des soins de santé est très laxiste à l’égard des contrôles d’accès accordés aux utilisateurs. On vise à limiter l’accès en fonction du poste occupé, mais, en réalité, les utilisateurs du réseau peuvent accéder à beaucoup plus de systèmes qu’ils n’en ont vraiment besoin. De toute évidence, la menace s’en trouve étendue et ça facilite les attaques, la prise de contrôle du réseau ou l’obtention de contrôles d’accès supérieurs qui permettent de causer des dommages importants, comme on l’a vu récemment.
Charles Rhyee :
Par souci de clarté, quand vous parlez d’une structure plate par rapport à la segmentation, pouvez-vous préciser de quoi il s’agit et à quoi ça ressemble dans un système?
Richard Staynings :
Les réseaux de soins de santé sont vastes et possèdent une structure plate. Ils hébergent toutes les applications, les données et les utilisateurs, mais sont aussi segmentés par des réseaux locaux pour empêcher le trafic multitâche de déborder et pour améliorer le rendement du réseau. Mais, en tant qu’utilisateur, si j’ai les autorisations nécessaires, je peux, par exemple, accéder en tout temps à n’importe quel système de n’importe quelle partie d’un réseau hospitalier et entrer dans une application, une base de données ou un système IdO. Il n’y a pas de pare-feu entre moi et le système. Par comparaison, d’autres secteurs d’activité déploient des réseaux segmentés ou même autonomes dans le cas des forces armées. Le réseau limite alors l’accès de l’utilisateur à certains éléments très ciblés de l’infrastructure des TI.
Charles Rhyee :
On considérait peut-être alors qu’un réseau plat était avantageux pour les soins de santé. En tant que médecin, si je devais consulter le dossier d’un patient ou des clichés radiologiques dans le système, est-ce que ça facilitait la prestation des soins, ou faut-il croire que l’idée était simplement mauvaise?
Richard Staynings :
Non, c’est le concept qu’on a voulu mettre en place. Je travaille en soins de santé depuis longtemps, et quand les TI ont pris plus d’importance dans le domaine, ce choix, entre autres, devait permettre aux médecins d’accéder aux systèmes en tout temps. Il y a cet impératif qui prévaut en soins de santé. Si je suis médecin et que je suis responsable de traiter le patient, de sauver une vie, je dois avoir accès aux systèmes médicaux nécessaires. En tant que médecin, c’est moi qui détermine les besoins médicaux en fin de compte. J’ai fait mes 10 ans à la faculté de médecine, mes stages et toute ma formation dans divers établissements. En tant que médecin, je sais ce à quoi j’ai besoin d’accéder. Ce n’est pas à un administrateur de réseau de me dire : « Vous travaillez en gériatrie; vous n’avez pas besoin de consulter les dossiers de pédiatrie », par exemple, ou l’inverse.
Évidemment, il y a certains systèmes auxquels tous les médecins doivent avoir accès. Je pense au système PACS pour l’archivage et la transmission d’images accessibles à quiconque en a besoin. Mais il y a d’autres aspects où ce n’est peut-être pas nécessaire. Les médecins ont-ils besoin de se connecter à Pathlab, ou simplement de consulter des résultats hématologiques ou sanguins? C’est le genre de décision qui n’a pas encore été prise pour les réseaux de soins de santé, mais ça progresse lentement. On commence à voir une segmentation entre appareils IdO et appareils issus des TI. Les appareils médicaux représentent actuellement environ 75 % des actifs connectés dans le système hospitalier typique. Mais cette répartition ne s’observe pas pour l’accès des utilisateurs ou les applications et les objets de données, comme dans d’autres secteurs.
Charles Rhyee :
Vous avez souligné tout à l’heure que le concept avait été décidé à l’arrivée des TI dans les soins de santé. Certains auront sans doute remarqué quelques-unes des vulnérabilités liées à ce modèle d’infrastructure. A-t-on cherché à les corriger en cours de route? Y a-t-il eu des obstacles pour mieux sécuriser l’infrastructure?
Richard Staynings :
Oui. C’est vraiment une question de priorités et de financement. On peut régler n’importe quel problème si on en fait une réelle priorité de gestion, si on s’attèle à la tâche et si on investit les sommes nécessaires pour recruter les bonnes personnes et acquérir les bonnes technologies afin de répondre à cette éventualité, cette exigence, cet objectif. Le problème en soins de santé, c’est que les systèmes doivent fonctionner sans interruption, toute la journée, 365 jours par année. Il n’y a pas, comme dans d’autres secteurs, de temps d’arrêt durant lequel on pourrait faire appel à une infrastructure auxiliaire ou afficher sur notre site Web : « Nous effectuons des travaux de maintenance, veuillez essayer de nouveau vers huit heures. Nos services sont interrompus pour la nuit.»
Ça arrive souvent à une heure du matin le samedi ou le dimanche sur nombre de sites Web, qui procèdent à des travaux de maintenance ou traitent la facturation. Dans les soins de santé, on n’a pas ce luxe ni autant de disponibilité que d’autres secteurs. On n’a pas d’autre infrastructure, d’autre système PACS ni d’autre centre radiologique, par exemple. Même si de nombreux hôpitaux ont différentes installations : dans la salle des urgences, les aires postopératoires, le service de médecine générale, etc., elles sont toutes utilisées par différents groupes et ne sont pas interchangeables. On n’a pas ce niveau de résilience associé au fait de pouvoir passer d’un système à l’autre.
Le cas de Change Healthcare est un exemple classique de ce qui se passe lorsqu’un système critique tombe en panne. Change Healthcare était essentiel pour un tiers des systèmes de soins de santé aux États-Unis à l’époque; il n’y avait pas d’autre option. Les hôpitaux ne pouvaient pas se tourner vers un autre système et ont aussi été paralysés. Ça touche aussi Londres, où les serveurs de Synovis dans plusieurs fiducies du NHS, le système de santé britannique, ont subi une attaque. Ce nœud d’infrastructure était essentiel pour deux fiducies du NHS et une multitude de cliniques médicales et de cabinets d’omnipraticiens dans le sud-est de Londres. C’est la conséquence en partie du concept adopté en soins de santé et de nos décisions liées à l’affectation de ressources limitées, notamment aux TI et à la cybersécurité.
Charles Rhyee :
On va aborder le changement dans un instant, mais auparavant, j’aimerais savoir quelles sont les cyberattaques, les techniques et les technologies les plus utilisées pour infiltrer les soins de santé.
Richard Staynings :
La principale méthode d’infiltration demeure l’hameçonnage. La plupart des attaques, 97 %, commencent par un courriel d’hameçonnage. L’humain est crédule. Surtout dans un environnement très stressant comme un hôpital, on reçoit un courriel, peut-être au téléphone, et on l’ouvre sans se rendre compte qu’il s’agit d’un pourriel, d’un message malveillant ou qu’il contient une pièce jointe ou un lien malveillant. C’est comme ça que les criminels mettent pied dans le réseau. Pour l’utilisateur qui fait l’erreur d’ouvrir une pièce jointe ou un message envoyé par courriel ou de cliquer sur un lien, ce lien ou ce message télécharge dans l’ordinateur un programme qui va accéder à Internet et récupérer tous les codes malveillants qu’il doit exécuter. Il va ensuite lancer une attaque très subtile que la plupart des plateformes XDR et des autres systèmes de protection des terminaux ne sont pas en mesure de détecter.
En un rien de temps, le logiciel malveillant explore en profondeur le réseau. Il le cartographie, trouve les données utiles et cherche à les exfiltrer pour les vendre. On pense aux renseignements personnels permettant l’identification et aux renseignements confidentiels sur la santé et sur la propriété intellectuelle. Ou les malfaiteurs cherchent à chiffrer ces données pour exiger une rançon, un scénario fréquent dans la dernière décennie.
Charles Rhyee :
Vous dites qu’on a affaire au hameçonnage dans 97 % des cas. Qu’en est-il des 3 % restants? Quelles méthodes plus inhabituelles avez-vous observées?
Richard Staynings :
Je pense entre autres à l’utilisation d’une clé USB. Certaines infiltrations font appel à cette tactique. Il y a de nombreuses années, je me souviens que les techniciens d’un réseau hospitalier étaient venus mettre à jour le système d’imagerie. Je crois qu’il s’agissait d’un tomodensitomètre. La mise à jour du code d’application se trouvait sur une clé USB. Les techniciens l’ont insérée dans l’ordinateur de contrôle du tomodensitomètre sans se rendre compte que la clé USB contenait un logiciel malveillant. Bien sûr, le logiciel malveillant s’est propagé.
Les appareils dans les hôpitaux ne bénéficient généralement d’aucune protection. Les ordinateurs sous Windows utilisés au quotidien dans un hôpital pour effectuer la facturation ou permettre au personnel infirmier d’assurer le suivi des patients, au médecin de rédiger des ordonnances ou des notes de cas ou à l’employé de l’infrastructure de faire son travail, tous ces systèmes sont gérés par l’équipe des TI de l’hôpital, qui en corrige tous les 30 jours les vulnérabilités et effectue les mises à jour de sécurité. Mais bon nombre d’appareils médicaux sont répertoriés et réglementés par la FDA, et ne contiennent pas de logiciel antivirus ni de logiciel de protection des terminaux. On ne peut pas leur installer des correctifs ni mettre à niveau leurs systèmes d’exploitation.
On utilise encore beaucoup Windows XP, par exemple, ou Windows 7, d’anciens systèmes mis au rancart par Microsoft. Pourtant, c’est le seul système d’exploitation capable de faire fonctionner une certaine application ou un certain appareil. Un volet du réseau hospitalier est donc assez bien protégé et répond aux normes. Mais, l’autre volet, celui des appareils médicaux cliniques, se trouve sans protection. Il faut mettre en place différents niveaux de contrôles de cybersécurité et différentes approches pour sécuriser ces systèmes. Et c’est un énorme problème, compte tenu du taux de croissance des appareils médicaux dans les hôpitaux aujourd’hui.
Charles Rhyee :
C’est intéressant, et j’aimerais y revenir quand on va parler de l’aspect réglementaire. Dans les soins de santé, y a-t-il des sous-secteurs plus vulnérables aux cyberattaques? Je sais qu’il y a eu plus d’incidents dans les hôpitaux récemment. Est-ce le maillon faible, et quels sont les autres secteurs vulnérables?
Richard Staynings :
On observe des attaques dans toutes les sciences de la vie associées aux soins de santé. Durant la pandémie, les sociétés pharmaceutiques et les laboratoires cliniques ont été largement ciblés, en particulier par la Russie et la Chine qui cherchaient à mettre la main sur des travaux de recherche pour traiter la COVID-19 et, évidemment, sur des vaccins qui empêcheraient la pandémie de se propager. Les Russes et les Chinois ont d’ailleurs été avertis par Mike Pompeo, je crois, à l’époque, pour avoir infiltré nombre de nos sociétés pharmaceutiques. Les Chinois, en particulier, écument nos systèmes pharmaceutiques depuis des années et volent une grande partie de la recherche clinique au profit de leurs entreprises d’État. Mais c’est un cas à part. Il y a eu aussi des attaques contre les payeurs du réseau. Avant l’incident chez Change Healthcare, la violation de données de soins de santé chez Anthem Health était la plus importante de l’histoire; 78,8 millions de dossiers patients ont été dérobés, encore par la Chine. On ne sait pas dans quel but, mais l’attaque était massive et un certain nombre d’autres payeurs ont été touchés en même temps ou dans la même période, ce qui a permis de soutirer des renseignements de leurs réseaux.
Mais, dans l’ensemble, ce sont les fournisseurs qui sont affectés aujourd’hui. Les vols de renseignements sur la propriété intellectuelle, de renseignements confidentiels sur la santé et de renseignements personnels permettant l’identification dans les systèmes hospitaliers sont en baisse parce que ces données ont moins de valeur qu’il y a 10 ou 15 ans. Les cyberattaques par rançongiciel, une forme d’extorsion, prennent le relais pour deux raisons. La première, c’est que les malfaiteurs peuvent tout de même exfiltrer des données pour les vendre sur le Web caché. Ou ils peuvent rançonner les hôpitaux, les fournisseurs, les propriétaires de données ou les patients victimes du vol et, en même temps, faire chanter le fournisseur de soins de santé dont le réseau est en panne parce que tous ses systèmes sont chiffrés. Ils peuvent aussi soutirer 20 millions ou 50 millions de dollars, peu importe la somme, à l’établissement s’il souhaite restaurer ses données rapidement.
Mais ces données sont déjà viciées; elles ont été manipulées. Il faut s’interroger sur leur intégrité, leur fiabilité et sur le nettoyage à effectuer avant de pouvoir utiliser les données récupérées suivant une attaque par rançongiciel. Heureusement, même si certains cèdent au chantage, la plupart des réseaux hospitaliers ne paient pas les rançons parce que ça encouragerait les criminels. On préfère restaurer les données à partir de sauvegardes externes, à condition de disposer de sites déconnectés assez nombreux, parce que les criminels attendent parfois six mois avant de chiffrer les données pour s’assurer de récupérer les sauvegardes et soumettre la victime au chantage.
Charles Rhyee :
Vous avez mentionné que, pendant la pandémie, des États comme la Chine et la Russie ont tenté d’infiltrer les systèmes, en particulier en ce qui concerne les vaccins et la COVID-19. S’agit-il des principaux acteurs? A-t-on davantage affaire à des États mal intentionnés ou à des criminels aujourd’hui?
Richard Staynings :
Je pense que c’est une combinaison des deux. Du point de vue du nombre des cyberattaques, la Chine est de loin le principal auteur. L’Armée populaire de libération de Chine compte près de 100 000 cyberagents chargés de soutirer des renseignements partout en dehors de la Chine. Et beaucoup de pays limitrophes font l’objet, par exemple, de menaces persistantes avancées de la part de groupes chinois. Les États-Unis sont pris pour cible. La Chine tente de leur extorquer des secrets d’État ou de défense, les plans du chasseur furtif américain, par exemple, afin d’améliorer ses propres avions et systèmes d’arme. Mais, aussi, contrairement aux autres pays, puisque tous se livrent plus ou moins à l’espionnage, la Chine se distingue par le vol de propriété intellectuelle et de secrets commerciaux non liés à la défense.
On vole des formules pharmaceutiques, les travaux d’études cliniques. On subtilise aussi d’autres renseignements d’affaires qui permettent à des fournisseurs de soins de santé aux États-Unis, comme les cliniques Mayo et Cleveland et certains autres établissements très en vue, de se démarquer grâce aux services offerts aux patients, ce qui attire une clientèle mondiale. Des gens de partout dans le monde prennent l’avion pour se faire traiter ou obtenir une consultation à la clinique Mayo en raison de sa réputation et de ses technologies de pointe. Évidemment, la Chine est prête à s’emparer de ce savoir et aimerait l’intégrer à ses systèmes hospitaliers. De plus, la population chinoise est fortement touchée par le cancer. Le sol, l’air, l’eau en Chine sont très pollués. Le système de soins de santé géré par l’État est au bord de la rupture. Il faut soigner une énorme population de 1,4 milliard d’habitants, dont un pourcentage de plus en plus élevé souffre de cancer. La Chine n’hésite pas à subtiliser tout ce qu’elle peut dans le domaine du cancer.
Voilà pour le vol de propriété intellectuelle. Il existe aussi d’autres acteurs étatiques malveillants. En Russie, je pense au GRU, qui coordonne les unités de renseignement militaire, et au CSF, l’ancien KGB, qui cherche à infiltrer les systèmes. Le GRU a déjà mené des actions assez néfastes. Je pense aussi à WannaCry, un pirate nord-coréen. J’y reviendrai dans un instant. Mais NotPetya est la cyberattaque la plus importante et la plus dévastatrice de tous les temps, du moins jusqu’à maintenant. Elle a été menée par Sandworm, une cellule du GRU russe qui s’en prend aux entreprises ukrainiennes, en particulier au logiciel fiscal, MeDoc. Après l’Ukraine, la cyberattaque s’est mondialisée, causant entre 8 et 12 milliards de dollars de dommages aux entreprises utilisatrices du logiciel MeDoc. Voilà l’autre groupe d’acteurs étatiques.
Il y a évidemment la Corée du Nord. Elle a lancé l’attaque WannaCry en 2017, une menace par rançongiciel qui a finalement échoué. La Corée du Nord agit comme une entité criminelle et trempe dans diverses opérations de braquage qui visent les banques, la plateforme Bitcoin, les portefeuilles de bitcoins, etc. Évidemment, elle utilise aussi des rançongiciels. Ça permet à la famille Kim de se nourrir au caviar et aux généraux de ravitailler les missiles en carburant. Ça procure des devises étrangères fortes que la Corée du Nord peut utiliser pour se maintenir à flot, vu la pluie de sanctions mondiales qui s’abat sur le pays.
Et puis, le dernier groupe correspond aux milieux criminels. De ce point de vue, la Russie remporte la palme. La mafia, ou plutôt le crime organisé, y règne en maître. Ils sont protégés de facto par le Kremlin, qui ferme les yeux sur leurs activités s’ils évitent d’attaquer quoi que ce soit en Russie ou dans l’ancien bloc soviétique. Ça procure également au pays un revenu très intéressant en devises fortes grâce aux bitcoins extorqués par rançongiciel ou au vol de données et de systèmes partout dans le monde. Ces menaces se multiplient. Comme vous l’avez mentionné en introduction, les rançongiciels sont une plaie. En tant que société respectueuse des lois, on ne s’en est pas encore vraiment occupé. C’est un enjeu auquel les gouvernements doivent s’attaquer. J’espère qu’un jour les Nations Unies mettront en place une sorte de charte sur la cybercriminalité pour que les mêmes règles s’appliquent partout. Mais, on n’en est pas encore là.
Charles Rhyee :
Après avoir parlé de certaines attaques par rançongiciel, j’aimerais enchaîner avec le cas de Change Healthcare. Vous pourrez nous en dire un peu plus, compte tenu de votre compréhension des choses. Je sais que l’information est un peu rare, mais quels sont vos réflexions ou vos soupçons quant aux origines et aux problèmes entourant les attaques contre Change Healthcare?
Richard Staynings :
L’attaque par rançongiciel contre Change Healthcare est aussi typique de la Russie. Elle a été menée par le groupe ALPHV, aussi appelé BlackCat. Le groupe se cache en Russie, d’où il agit en toute impunité. On croit qu’il a réussi à voler l’identité d’un utilisateur administrateur. Évidemment, on ne connaît pas tous les détails. Il faudra sans doute attendre plusieurs mois, jusqu’à ce que le rapport de l’enquête judiciaire soit publié. Reste à voir si l’information sera entièrement rendue publique. Mais l’attaque est venue du fait que l’ID d’utilisateur était compromis et qu’on l’a ensuite utilisé pour accéder à un serveur VPN dans l’environnement de Change Healthcare.
Pour le moment, on ne sait pas si ce serveur intermédiaire faisait partie de la pile installée quand Optum, une filiale de United Health Group (UHG), a acheté Change Healthcare il y a 18 mois, ou s’il a été conçu par l’équipe d’Optum sans avoir été bien sécurisé. Mais ce serveur VPN n’était pas doté de l’authentification multifacteur. Le vol d’identifiants de l’utilisateur a permis d’accéder au système et d’exfiltrer une grande quantité de données du réseau de Change Healthcare et de déployer l’attaque. Le résultat est tout à fait dévastateur vu la nature critique des services offerts par Change Healthcare, un tiers fournisseur pour environ le tiers des réseaux de soins de santé aux États-Unis. D’après le dernier rapport, près du tiers des dossiers médicaux de la population américaine aurait été exfiltré ou compromis par BlackCat, ce qui en ferait la plus importante attaque de l’histoire contre les soins de santé dans le monde.
Charles Rhyee :
L’attaque était de grande ampleur. Je crois comprendre qu’on a exigé une rançon et, selon certains rapports, United Health Group l’aurait payée. L’entreprise a-t-elle pu récupérer les données?
Richard Staynings :
Je ne crois pas, d’après ce que j’ai lu dernièrement. Mais je n’ai pas suivi le dossier de près dans les semaines qui ont suivi l’attaque. Payer une rançon est toujours risqué. J’imagine que UHG voulait restaurer ce système essentiel le plus rapidement possible. En fait, la plupart des entreprises qui paient la rançon ne récupèrent pas les données parce qu’on ne peut pas faire confiance aux criminels. Sinon, elles n’en obtiennent qu’une partie ou ne peuvent pas déchiffrer les données avec les clés qu’elles ont achetées. Quand une organisation subit une attaque par rançongiciel, par exemple, d’autres criminels s’intéressent à la victime et cherchent aussi à l’exploiter. Ils vont donc utiliser leur rançongiciel, puisque cet environnement est accessible pendant une courte période, et cibler les données ou d’autres systèmes de l’organisation.
On se retrouve dans un environnement où pullulent les malfaiteurs, et il est très difficile de récupérer toutes les données. En fait, comme je l’ai souligné tout à l’heure, payer une rançon n’est pas une bonne idée. Ça encourage beaucoup de monde, surtout dans les régions plus imperméables à la loi, comme l’ancienne République soviétique, à se joindre à des groupes criminalisés qui se livrent à des attaques par rançongiciel. Il suffit de voir l’historique des attaques par rançongiciel. Dans les premières attaques, comme celle du Hollywood Presbyterian Medical Center, la rançon était fixée à 17 000 $. Dans le cas de Change Healthcare, on a exigé 20 millions, je crois. Maintenant, le groupe responsable de l’attaque du NHS à Londres demande 50 millions de dollars, soit 40 millions de livres sterling.
Le prix à payer augmente. Mais cette inflation dévastatrice ne s’arrête pas là. Comme je l’ai mentionné, des attaques secondaires et tertiaires cherchent à persuader les patients de faire pression sur leur hôpital pour qu’il verse la rançon, ou de payer eux-mêmes pour éviter la divulgation de leurs dossiers médicaux. On constate une escalade des menaces contre les personnes, en même temps qu’une explosion du nombre d’hôpitaux victimes d’attaques par rançongiciel. Il ne se passe pas une semaine aux États-Unis sans qu’un réseau hospitalier subisse une attaque par rançongiciel. Souvent, des systèmes de sauvegarde à distance permettent de contrer rapidement la menace avant qu’elle atteigne les données. Il s’agit ensuite de déterminer et d’éliminer la méthode d’infiltration. Mais c’est un combat de chaque instant.
Certains réseaux hospitaliers sont mieux préparés que d’autres pour contrer ce type d’attaque. Un établissement comme la clinique Mayo compte dans son équipe de nombreux professionnels de la cybersécurité. Les outils, les politiques et les procédures sont fantastiques, sans oublier l’appui et le parrainage de la direction en matière de cybersécurité. Et ça remonte jusqu’au conseil d’administration. Ça ne se compare pas avec un hôpital des quartiers déshérités, en particulier un hôpital public ou un établissement de santé rural, un hôpital rural, où l’équipe des TI regroupe trois ou quatre personnes, dont une seule s’y connaît assez en cybersécurité pour mettre en place les protections avancées qu’exigent les soins de santé dans l’environnement numérique d’aujourd’hui.
Charles Rhyee :
Plus récemment, il y a aussi eu le cas d’Ascension Health. Que savons-nous de ce qui s’est passé?
Richard Staynings :
Peu de choses, vraiment. Ascension Health demeure très discrète sur l’attaque. L’organisation se fait avare de commentaires. Elle a révélé qu’il s’agissait d’une attaque par rançongiciel, probablement l’œuvre de Black Basta, un autre cybergang russe. Sept serveurs de fichiers ont été compromis et des renseignements confidentiels sur la santé ont été volés. Ces serveurs sont utilisés par le réseau Ascension Health pour gérer ses systèmes de dossiers médicaux électroniques. On a mené une enquête judiciaire et examiné les données touchées. Les dossiers médicaux électroniques avaient été dérobés et Ascension Health cherchait à les récupérer. On sait, ou du moins on nous a dit, que l’attaque avait été exécutée à partir d’un fichier téléchargé par un membre du personnel.
Il pourrait bien s’agir d’un courriel qui contenait un code malveillant en pièce jointe, ce qui est plus que probable, ou un lien vers un fichier. Ou peut-être qu’une personne a téléchargé pour son poste de travail un économiseur d’écran auquel elle n’aurait probablement pas dû avoir accès au départ. On ne le sait pas, mais l’attaque a été lancée à partir d’un fichier téléchargé, selon ce qu’on nous a dit. Le nettoyage de l’environnement se poursuit. Évidemment, comme pour Change Healthcare, les conséquences sont énormes. Dans le cas d’un hôpital du réseau Ascension Health, nombre des services sont exclusivement de nature urgente. Par conséquent, les patients doivent être redirigés vers d’autres établissements de la région. Ascension Health exerce ses activités dans plusieurs États et regroupe un grand nombre d’hôpitaux; là encore, l’attaque est dévastatrice.
Charles Rhyee :
Selon vous, quelles sont les répercussions pour les patients? On ne connaît même pas le nom des patients dont les renseignements ont été compromis. Vont-ils être avisés?
Richard Staynings :
Les patients vont être informés. Je crois l’avoir lu dans la presse plus tôt durant la fin de semaine. Change Healthcare prévoit d’envoyer des lettres aux patients puisque les données ont été compromises au début de juillet. Le délai est très long. Et je suis certain que l’organisation va être mise à l’amende par le département de la Santé et des Services sociaux et le Bureau des droits de la personne (OCR) aux États-Unis pour ne pas avoir signalé la violation aux personnes touchées dans les délais réglementaires, comme l’incident remonte dans le temps. Mais surtout, elle est aussi assujettie à toutes les règles d’avis de violation imposées aux États. Chacun des 50 États prévoit des règles pour le signalement des violations. C’est aussi le cas pour un certain nombre de territoires américains. Très probablement, ces règles n’ont pas été respectées et, par conséquent, des amendes vont être imposées par chacune de ces instances et à l’issue des procès intentés.
Des recours collectifs contre Change Healthcare vont aussi être déposés par les patients qui poursuivent leurs fournisseurs parce que leurs données ont été divulguées et qu’ils courent un risque accru de vol d’identité ou qu’ils ont été extorqués directement par les groupes criminels. La violation de données non publiques est évidemment une préoccupation; c’est une atteinte à la confidentialité. Mais il faut surtout se soucier des attaques contre la disponibilité et peut-être l’intégrité des données médicales. N’oubliez pas que la cybersécurité est fondée sur le principe de la triade de la CIA, et non sur nos amis de Langley. Il s’agit de protéger la confidentialité, l’intégrité et la disponibilité des données de soins de santé et des systèmes qui les stockent, les traitent et les créent. Or, une attaque par rançongiciel porte atteinte à la fois à la confidentialité, si les données sont exfiltrées ou touchées, mais principalement à la disponibilité des systèmes.
Les principales répercussions pour les patients sont liées à la disponibilité. Que se passe-t-il si je me rends en urgence à un hôpital qui est incapable de me recevoir? Que se passe-t-il si j’arrive en ambulance toutes sirènes hurlantes à l’hôpital, qui refuse de me prendre parce que ses systèmes sont sous le coup d’une attaque par rançongiciel? L’ambulance est détournée vers l’hôpital le plus proche épargné par la menace. C’est ce qui est arrivé à un patient allemand âgé terrassé par un infarctus, il y a quelques années. L’hôpital de l’Université de Düsseldorf l’a redirigé vers un autre établissement à 20 ou 30 minutes de voiture dans la ville de Wuppertal. Il est décédé peu après son arrivée, faute d’avoir été traité rapidement. Il y a donc une incidence directe sur la morbidité et la mortalité des patients lorsque ces systèmes sont en panne.
Évidemment on s’interroge sur la culpabilité des malfaiteurs qui participent à ces menaces à la disponibilité, à savoir s’il s’agit d’une tentative de meurtre ou d’un autre type d’homicide. Comparé à une violation de mon dossier médical, qu’est-ce qui est plus important? Si mon dossier médical atterrit sur le Web caché, qui s’en soucie! Si je suis candidat à la présidence et que mon dossier médical fait état d’une maladie qui pourrait nuire à ma capacité d’exercer la fonction, ça risque de me nuire. De même, Hillary Clinton a été victime de fausses nouvelles voulant qu’elle soit atteinte d’un cancer du poumon alors qu’elle souffrait d’une bronchite durant sa campagne à la présidence. Évidemment, tout ça a eu des conséquences.
La grande question est de savoir si une violation de la confidentialité va entraîner un décès. Est-ce que je vais me suicider parce qu’on publie mon dossier médical ou d’autres données qui confirment que j’ai une ITS? Sans doute pas. Il y aura toujours des personnes qui en seront lourdement affectées, et il faut faire tout ce qu’on peut pour protéger les données non publiques. Mais ça ne met pas autant la vie en danger qu’une menace à la disponibilité. La plupart des Américains ont été victimes jusqu’à un certain point de vols de renseignements personnels permettant l’identification et de renseignements confidentiels sur la santé. Cette information est à vendre quelque part dans une base de données sur le Web caché russe. Est-ce vraiment grave si mon dossier médical est volé une cinquième ou une sixième fois? L’information circule déjà. Les Russes détiennent déjà sur le Web caché toute l’information qu’ils veulent sur moi. Faut-il encore m’en inquiéter? Ce sont les questions qu’on doit se poser, surtout du point de vue de la réglementation.
À courte vue, nos règlements en matière de soins de santé n’en ont que pour la protection de la confidentialité et de la vie privée. Je pense notamment à la règle sur la vie privée et celle sur la sécurité en vertu de la loi Health Insurance Portability and Accountability Act (HIPAA) aux États-Unis. Est-ce pertinent dans le contexte actuel, où l’on attaque la disponibilité ou peut-être même l’intégrité des données? Qu’advient-il de l’intégrité si mon dossier médical est modifié et que les malfaiteurs tentent de rançonner l’hôpital en sachant quels dossiers ont été falsifiés, mais que l’hôpital refuse de payer? Je dois subir une chirurgie. Mon dossier médical indique que mon bras gauche va être amputé, alors que c’est le droit qui doit l’être, ou mon rein gauche et non le droit. Les conséquences peuvent être dévastatrices si le dossier n’est pas corrigé. De même, mon groupe sanguin peut être falsifié dans mon dossier médical. Si j’ai besoin de sang après une chirurgie et qu’on utilise le groupe O positif inscrit à mon dossier alors que je suis AB négatif, je vais avoir une réaction transfusionnelle. Ça pourrait mettre ma vie en danger.
Or, croyant à tort que la réaction transfusionnelle est causée par du sang contaminé ou moins frais parce qu’il a mal été conservé, par exemple, ou qu’il excède la date d’expiration, le médecin peut craindre un risque d’infection. Il m’administre des antibiotiques. Il ne sait pas que mes allergies ont été effacées de mon dossier médical. Je suis mortellement allergique à la pénicilline, mais on me donne un antibiotique. Je subis un arrêt cardiorespiratoire. Me voilà parmi les statistiques, victime du système de santé à la suite d’une attaque contre l’intégrité des données médicales. Il y a beaucoup d’aspects à protéger dans le système de santé et on a très peu de ressources pour le faire. Certains règlements sont, au mieux, une distraction parce qu’ils sont à courte vue et se concentrent sur des aspects secondaires actuellement.
Charles Rhyee :
C’est un point intéressant. Je me demande parfois pourquoi la loi HIPAA accorde autant d’importance à la vie privée. La génération d’aujourd’hui révèle tout sur elle-même dans les médias sociaux. La protection de la vie privée n’apparaît pas comme l’enjeu principal. Je pense comme vous sur la question de l’intégrité et de la disponibilité des données. Mais du point de vue de la réglementation, que peut-on faire? Quand je pense au rôle du département de la Santé et des Services sociaux ou des Centers for Medicare and Medicaid Services, je vois mal par quel mécanisme on pourrait offrir des conseils. Est-ce que ça pourrait provenir de... Je suppose que ça nous ramène à votre commentaire sur la vulnérabilité des appareils médicaux. Est-ce que ça devient la responsabilité de la FDA, surtout dans sa vision des logiciels pour les appareils médicaux? Par exemple, à quel endroit l’organisme de réglementation s’insère-t-il le mieux? Quelle agence est probablement mieux placée pour rédiger un texte? Ou est-ce que le Congrès doit fournir plus de conseils?
Richard Staynings :
La grande question est de savoir si le Congrès est le bon organisme pour fournir ces conseils. On sent une grande préoccupation face à la multitude de règlements en soins de santé. On est assujettis à une foule de règlements, je pense à la HIPAA, à la Joint Commission on Accreditation of Healthcare Organizations, à la FDA pour les appareils médicaux ou à la FTC pour les appareils médicaux portables. La liste des groupes ou des autorités est interminable; ce n’est pas une mince tâche de s’y retrouver. Quand on rajoute à la réglementation fédérale et sectorielle celle des États, il faut recruter une horde d’employés simplement pour déterminer le risque lié à la réglementation X, Y ou Z. En même temps, les soins de santé connaissent la transformation la plus importante et la plus spectaculaire de leur histoire. On est passé en quelques décennies de Florence Nightingale, des soins palliatifs aux malades et aux mourants, à des capacités médicales hautement interventionnistes et très avancées sur le plan technologique.
Le lit d’hôpital dans lequel vous êtes né ne ressemble en rien à celui d’aujourd’hui. Chaque lit d’hôpital est couplé à une multitude d’appareils médicaux automatisés qui exécutent diverses fonctions dévolues auparavant aux infirmières. Elles étaient des centaines et des centaines dans les hôpitaux. Leur nombre a chuté, surtout depuis la COVID-19; on manque de personnel infirmier dans l’ensemble du réseau. En même temps, on implante des technologies qui améliorent l’efficacité des systèmes de santé. L’interconnectivité rassemble des systèmes TI de santé disparates. Une foule d’appareils médicaux dans notre environnement de soins de santé sont connectés et remplissent toutes sortes de fonctions. Je pense aux examens diagnostiques : radiographie, tomodensitométrie et échographie, aux systèmes thérapeutiques : radiothérapie, chimiothérapie, pompes à perfusion pour l’administration des médicaments et pompes à perfusion implantables qui permettent aux patients de se déplacer malgré leur maladie, par exemple, s’ils vivent avec le diabète. Les stimulateurs cardiaques sont une autre forme d’appareil médical implantable.
Il y a aussi les systèmes de gestion des patients et de télémétrie. Des moniteurs surveillent la saturation en oxygène, des brassards mesurent la tension artérielle. Tous ces appareils sont automatisés aujourd’hui, sans parler des systèmes d’appel infirmier. Il existe déjà une multitude de systèmes médicaux dans notre environnement, sans parler de la nouvelle vague d’automatisation qui s’en vient. Des robots vont sélectionner les médicaments en pharmacie et les livrer aux services hospitaliers équipés d’une armoire Pyxis, où une infirmière n’aura qu’à balayer le code pour ouvrir un tiroir contenant les médicaments d’un patient. Ce niveau d’automatisation va augmenter l’efficacité et réduire les risques cliniques de notre environnement, en plus d’améliorer les résultats pour les patients. Je pense au robot chirurgical Da Vinci, qui exécute maintenant environ 95 % des neurochirurgies au pays. On l’utilise de plus en plus dans d’autres microchirurgies pour lesquelles la précision d’un robot est inégalable.
Tous ces systèmes sont connectés à nos réseaux, et cette connectivité décuple la menace liée à la prestation des soins de santé. Et c’est l’un de nos plus grands défis : on ne sait pas qui se connecte au milieu hospitalier. Par exemple, on a une liste, un répertoire des appareils médicaux. On a des feuilles de calcul qui consignent le lieu où les appareils sont censés se trouver. Mais ces listes sont souvent périmées. Elles ne sont pas accessibles en temps réel. Elles ne sont pas mises à jour à l’aide des correctifs informatiques appliqués aux systèmes. Et ça pose un problème. Ces appareils présentent des risques pour l’environnement des soins de santé, pour l’intégrité des TI et d’autres systèmes IdO, par exemple, ou pour des aspects comme la sécurité des patients parce qu’ils sont souvent connectés à un appareil médical, qui est lui-même relié au réseau.
Et ça donne lieu à toutes sortes de déclarations alarmistes comme quoi un appareil médical pourrait servir à commettre un meurtre. C’est physiquement possible, mais je pense qu’on exagère en attisant la peur, l’incertitude et le doute. Mais c’est un risque dont il faut être conscient. Les appareils médicaux connaissent une croissance mondiale de 18 % par année. Le problème va grandissant, mais on n’a pas encore trouvé de solution.
Charles Rhyee :
C’est fascinant. On arrive à la conclusion. Dans ce contexte, et en particulier du point de vue des investisseurs, puisqu’ils doivent songer à la cybersécurité avant d’investir en soins de santé, selon vous, quelles sont les cinq principales questions qu’ils devraient poser aux entreprises pour en évaluer la sécurité?
Richard Staynings :
La première chose à faire, c’est de déterminer la maturité de la cybersécurité au sein de l’entreprise, qu’il s’agisse d’investisseurs qui souhaitent y investir ou l’acquérir. Il faut exercer une certaine diligence raisonnable quant à sa capacité. Cette maturité a-t-elle été vérifiée par un tiers réputé? L’entreprise détient-elle la certification ISO 27001, si ça s’applique à son modèle d’affaires? Possède-t-elle une attestation SOC 2 de type 2 délivrée par un auditeur tiers, confirmant qu’elle répond aux objectifs de contrôle de l’évaluation? Dans le cas d’une entreprise européenne, respecte-t-elle la nouvelle directive NIS2? Peut-elle fournir la preuve qu’elle a réussi l’audit de sécurité, conformément à la réglementation locale? C’est vraiment le premier aspect que j’examinerais.
Deuxièmement, à plus long terme, est-ce que l’entreprise possède une culture axée sur la cybersécurité? Et cette culture est-elle soutenue par le conseil d’administration, le comité de surveillance ou les instances dirigeantes de l’entreprise, du chef de la direction jusqu’aux infirmières et aux préposés à l’entretien en passant par tous les bureaux, administrateurs et gestionnaires? L’entreprise qui encourage une culture de cybersécurité à laquelle tous les employés sont sensibilisés et qui est comprise à tous les niveaux de la hiérarchie est beaucoup mieux préparée aux types d’attaques qu’on commence à voir. La prochaine question a trait à la sensibilisation. Les entreprises comprennent-elles qui se connecte à leurs réseaux? Tiennent-elles rigoureusement à jour une liste de tous les appareils qui se connectent à leurs réseaux et un registre des risques? Ont-elles des politiques d’évaluation continue des risques pour s’assurer que les dangers et les vulnérabilités en matière de cybersécurité sont repérés et pris en charge rapidement?
Bien des fournisseurs de services médicaux, en particulier, n’apportent aucun correctif informatique aux systèmes réglementés par la FDA ou tardent à le faire parce qu’ils négligent le déploiement rapide de ces correctifs. Et les malfaiteurs savent qu’ils ont au moins 30 jours entre la publication et l’installation d’un correctif par Microsoft ou un autre fournisseur. On a besoin d’un mécanisme ou d’un système de tests et de correctifs beaucoup plus efficace. Tout investisseur doit vérifier la politique relative aux délais d’application des correctifs informatiques.
Et il y a quelques autres aspects. L’entreprise investit-elle vraiment en cybersécurité du point de vue du personnel, des processus et des technologies? Investit-elle de façon continue dans la formation et la sensibilisation du personnel concernant la cybersécurité? Ou demande-t-elle seulement aux employés de suivre le programme annuel de formation communautaire, au risque de périr d’ennui? C’est d’ailleurs le même programme que l’année dernière et celle d’avant. Chacun connaît probablement déjà les réponses par cœur après avoir assisté à l’une de ces séances. On a besoin de formation multimodale et de sensibilisation.
Et ça revient à ce que je disais tout à l’heure au sujet de la culture. Tout ça doit être incarné dans la culture; l’entreprise doit être protégée. L’entreprise a-t-elle assez d’outils, notamment pour analyser le comportement des utilisateurs et repérer les opérations inhabituelles dans leur compte? A-t-elle des capacités pour détecter les anomalies qui se déroulent dans un système? Les anomalies dénotent généralement une forme de compromission. Si on pouvait détecter rapidement une attaque et la contrecarrer, ce serait très facile et économique de limiter les dommages, au lieu de laisser la situation se détériorer durant quelques semaines.
Enfin, la vraie question, en particulier en soins de santé, est de savoir si l’entreprise évalue la sécurité de l’ensemble de sa chaîne d’approvisionnement. Des centaines de fournisseurs, voire des milliers, gravitent autour d’un hôpital, de la préparation des aliments à la cafétéria aux cafés-restaurants à proximité en passant par l’équipement de protection individuelle ou médical et les seringues, sans oublier la gestion impartie des dossiers médicaux électroniques, du service lié aux applications ou des logiciels-services. Change Healthcare est l’exemple classique d’un fournisseur de services.
Est-on informé des mécanismes de sécurité chez chacun de ces fournisseurs tiers et de tous leurs fournisseurs de quatrième et cinquième tiers? A-t-on examiné les risques liés aux fournisseurs tiers jusqu’au bas de la chaîne d’approvisionnement? Est-on convaincu que la collaboration avec un tiers ne pose pas de risques pour notre environnement? Respecte-t-il nos normes et peut-il le confirmer par une certification ou une attestation, ou faut-il réaliser des audits annuels à nos frais? Ce sont les questions que je poserais si je songeais à investir dans une entreprise en soins de santé. Mais je pense que beaucoup de ces facteurs s’appliquent probablement à toute occasion de placement.
Charles Rhyee :
J’ai presque peur de vous poser la question, mais, selon vous, quel pourcentage du système de santé répond à cette norme? Je crains que ce pourcentage soit très faible.
Richard Staynings :
Malheureusement, il est très faible. Pour revenir à ce que j’ai dit plus tôt, ça dépend beaucoup des priorités et des ressources. La clinique Mayo est très bien préparée et très bien protégée. Elle a investi des millions de dollars pour asseoir sa réputation. Elle fait de la publicité partout dans le monde. Elle investit dans des procédures de pointe. Elle expérimente toutes sortes de systèmes d’essais cliniques et les protège pour ne pas qu’ils se retrouvent dans un hôpital à Shanghai ou ailleurs. Elle injecte des millions de dollars dans sa propriété intellectuelle. Elle est bien préparée. Par comparaison, c’est comme si une clinique ou à un centre médical rural devait frotter un bâton sur une planchette pour faire du feu, faute d’avoir les moyens d’acheter des allumettes. Il y a une grande disparité au sein du système de soins de santé. Une menace existentielle très réelle plane au-dessus des soins de santé en milieu rural et dans les hôpitaux des quartiers déshérités au pays, vu l’énorme disparité entre milieux nantis et défavorisés.
Ce fossé met des vies en danger. Si vous vivez dans une région rurale du Minnesota, que votre hôpital ferme et que le plus proche est à deux heures de route, que faites-vous en cas d’accident vasculaire cérébral ou de crise cardiaque? Appelez-vous une ambulance aérienne qui va vous coûter 10 000 $, une facture qui n’est pas assumée par votre assurance maladie et vous accule à la faillite, ou espérez-vous vous en tirer? En cas d’accident vasculaire cérébral, il faut intervenir en 19 minutes. Si le centre médical le plus près se trouve à deux heures de route, même un hélicoptère ne pourra pas vous sauver. Vous allez avoir des séquelles durables. C’est le genre de choix que la société doit faire. Mais on peut se réconforter et voir le bout du tunnel si on améliore l’efficacité des soins de santé.
À l’heure actuelle, notre secteur est très inefficace. En très grande majorité, l’argent versé par les travailleurs, vous et moi, et les employeurs aux régimes privés d’assurance maladie ou au fisc pour financer les programmes médicaux comme Medicare, Medicaid ou TRICARE pour les militaires, ne parvient pas aux patients. Une bonne partie des fonds est absorbée par l’administration et par les intermédiaires qui tirent profit du système de santé. Et, bien sûr, il y a beaucoup de corruption entourant la facturation, sans parler des autres événements rapportés dans la presse assez régulièrement. On doit améliorer l’efficacité de la prestation. On doit assainir le système et accroître l’accessibilité. Il y a donc beaucoup de défis à relever dans le secteur des soins de santé.
Charles Rhyee :
C’est un environnement difficile, mais j’espère que le fait de mettre en lumière le problème de Change Healthcare et d’autres cas peut inciter le système de santé et les organismes de réglementation à agir. Tout ça donne matière à réflexion. Je pense que nous allons nous arrêter ici. Richard, merci de nous avoir fait part de vos observations. C’est un sujet vraiment fascinant. Il y a lieu de réfléchir en général en tant que citoyen, mais aussi en tant qu’investisseur, à la façon d’investir dans les entreprises, compte tenu des nouvelles menaces auxquelles on fait face aujourd’hui et que l’on n’aurait probablement pas imaginées il y a 10 ou 15 ans. Merci de vos réflexions et de votre présence aujourd’hui.
Richard Staynings :
Il n’y a pas de quoi. Merci de l’invitation.
Intervenante 1 :
Merci d’avoir été des nôtres. Ne manquez pas le prochain épisode du balado Insights de TD Cowen.