Les données de santé d’un demi-million de Français en libre accès sur les réseaux sociaux : une menace inadmissible pour les personnes concernées par ce piratage d’une ampleur inédite en France. Après les hôpitaux, c’est donc les patients qui sont désormais ciblés. Il est urgent que les pouvoirs publics fassent de la cybersécurité une priorité absolue. Il existe encore trop de failles, déplore France Assos Santé qui réclame une meilleure sécurisation des données de santé, où qu’elles soient hébergées, et des mesures coercitives contre les auteurs de ces attaques et ceux qui pourraient en profiter.
Imagine-t-on retrouver un jour, sur Internet, exposés à la vue de tous, son adresse postale, son numéro de téléphone, son email, son numéro de Sécurité sociale, le nom de son groupe sanguin, la liste de ses pathologies et même les commentaires de son médecin sur son état de santé ? Non, bien sûr. Sauf que c’est le cauchemar auquel sont confrontés depuis plusieurs jours quelque 500 000 assurés sociaux, dont les données de santé ont été piratées.
Jusqu’à 60 renseignements par patient en circulation
La fuite a été repérée le 14 février. Elle serait le résultat d’un désaccord commercial entre plusieurs hackers. L’un deux, en représailles, aurait donc jeté en pâture les fichiers d’un demi-million de Français, dont certains comptent jusqu’à une soixantaine de données médicales sensibles, désormais éventées.
Ces renseignements proviendraient d’une trentaine de laboratoires de biologie médicale, localisés dans le centre et l’ouest de l’Hexagone. Les informations divulguées correspondraient à des analyses et prélèvements effectués entre 2015 et 2020, période au cours de laquelle les laboratoires visés ont utilisé un même logiciel de saisie des données médicales et administratives.
La Commission Nationale Informatique et Liberté (CNIL) a diligenté, ce mercredi, une enquête pour faire la lumière sur les manquements à l’origine de cette fuite, d’une ampleur et d’une gravité exceptionnelle, si elle était confirmée.
Des données partout ultra-sécurisées
Cette affaire fait suite à deux attaques informatiques menées respectivement les 8 et 15 février dernier contre les hôpitaux de Dax (Landes) et de Villefranche-sur-Saône (Rhône), dont les services se sont retrouvés, en conséquence, paralysés. En pleine crise pandémique, ces cyberattaques ont de quoi donner des sueurs froides. D’autant qu’elles n’ont rien d’exceptionnel : d’après le secrétaire d’État chargé du Numérique, Cédric O, qui s’exprimait le 17 février dernier devant les députés, « il y a eu 27 cyberattaques d’hôpitaux en 2020, et depuis le début de l’année 2021, c’est une attaque par semaine ».
Rançonnage, chantage, usurpation d’identité : nos données de santé se monnayent. Et à prix fort. Or, de toute évidence, le secteur de la santé présente des failles.
En matière d’informations sensibles, il ne peut pas y avoir deux poids deux mesures, selon France Assos Santé. Le même niveau d’ exigence doit s’appliquer aux données de santé nationales pour la recherche – hébergées dans une plateforme numérique ultra sécurisée (Health Data Hub) sous forme anonymisée et pseudonymisée – et aux établissements de santé, aux industriels et fournisseurs d’outils numériques . Et cela, quel que soit l’endroit où ils sont localisés.
Le piratage, l’une principales craintes des Français
Lors des premiers Ateliers Citoyens du numérique en santé, initiés par le ministère de la Santé et des Solidarités, entre 2019 et 2020, les Français avaient exprimé un élan favorable pour la stratégie numérique en santé mais ils avaient fait part de leur très grande vigilance sur les questions de sécurité et la récupération de leurs données par des tiers. Qui a accès aux données de santé et pour quel usage ? La question résonne avec plus d’acuité encore à l’heure où des milliers de données personnelles ont été volées et portées à la connaissance de tous.
Pour France Assos Santé, ces actes particulièrement graves réclament une répression et des sanctions à l’aune des torts et dommages occasionnés. Lors de la présentation du plan de cybersécurité pour lutter contre cette menace particulièrement active, mi-février, l’exécutif a promis de condamner fermement les auteurs de ces cyberattaques et ceux qui en profiteraient. Des actes d’autant plus répréhensibles qu’ils interviennent dans un contexte sanitaire tendu. L’enjeu est capital car ils pourraient remettre en cause la confiance qu’ont les Français dans la stratégie numérique en santé.
L’avenir de notre système de santé passe par une réorganisation avec comme support le numérique.
Il faut absolument donner davantage de moyens aux systèmes d’information afin de construire une organisation solide, fiable avec tous les partenaires du système. Il n’y a que les systèmes d’information des régions qui peuvent élaborer un schéma global cohérent donc solide.