Sécurité, confidentialité, transparence, respect des droits des personnes et de la vie privée, sont autant d’éléments qui composent la protection des données. Après une année 2021 qui a vu les attaques informatiques visant les établissements de santé française plus que doubler pour attendre 733 attaques recensées, et plus d’un incident grave chaque semaine selon l’ANSSI (Agence nationale de la sécurité des systèmes d’information), l’année 2022 n’a pas été épargnée non plus. De nombreuses cyberattaques d’ampleur ont eu lieu et ont souvent été médiatisées, c’est pourquoi nous vous proposons à l’occasion de cette journée européenne de la protection des données de faire un focus sur la cybersécurité. Retrouvez tout au long de la semaine nos infographies pour comprendre les risques ciblant les établissements mais aussi les individus et comment agir.
Qu’est-ce qu’une donnée de santé ?
Chaque fois que nous allons chez le médecin ou dans un hôpital, des données sont recueillies sur nous, sur notre santé et notre mode de vie. Il peut s’agir de notre taille, notre poids, du fait que nous fumons ou non, de nos allergies, des infections dont nous souffrons et des médicaments que nous prenons. Il peut également s’agir des résultats d’une analyse sanguine, d’images d’IRM, de notre date de naissance ou encore d’informations concernant nos proches. Les autres spécialistes que nous consultons, par exemple les dentistes ou les psychologues, créent également des dossiers.
Qui veut la peau de nos données ?
Pour comprendre pourquoi les établissements de santé sont particulièrement touchés par les cyberattaques il faut comprendre en quoi nos données sont précieuses.En premier lieu, ce qui intéresse les pirates informatiques sont les données personnelles : il s’agit des fichier clients des entreprises, des données des résidents des collectivités locales, etc. Les établissements de santé rentrent aussi dans la catégorie des cibles, car ils accueillent des dizaines, centaines de milliers de patients chaque année, avec des informations personnelles détaillées.
Ces cyberattaques répondent à deux logiques :
- Demander une rançon en paralysant les services informatiques. Dans le cas d’un hôpital par exemple, cela peut empêcher la prise en charge de patients, si les logiciels médicaux sont inutilisables, les pirates font aussi pression en menaçant de divulguer ou détruire les données touchées.
- Commercialiser ces données sur le « darkweb », aussi appelé le web clandestin, où elles sont achetées par d’autres pirates pour réaliser de nouvelles cyberattaques, le plus souvent à l’échelle individuelle, pour escroquer les individus. Les données sont alors utilisées pour réaliser des arnaques, des usurpations d’identité, qui permettent de vous dérober de l’argent si vos identifiants bancaires sont compromis par exemple.
Pourquoi les données de santé sont-elles le nouvel eldorado des cyberpirates ?
Quand on interroge les citoyens ou les patients, la peur de voir ses données de santé utilisées pour nous nuire est bien présente dans les esprits. Mais si nous sommes souvent inquiets de voir notre banque, nos assurances ou encore notre employeur en prendre connaissance, il ne s’agit pas des risques majeurs auxquels nous pouvons être exposés. En effet, il serait faux de penser que ces sociétés parcourent le « darknet » à la recherche de données compromettantes concernant leurs clients, assurés ou salariés. La législation française est d’ailleurs très protectrice contre de tels usages et est très dissuasive.
Ce qui a de la valeur dans les données de santé, ce ne sont pas leur potentielle utilisation pour porter atteinte à votre réputation ou augmenter vos polices d’assurances. C’est le fait qu’il s’agisse des informations les plus fiables. En effet, pour bénéficier des bons soins et des bons remboursements, les établissements ont besoin des données les plus à jour et les plus précises, et aucune raison de ne pas leur fournir pour les usagers ! De plus, les données de santé sont pour un certain nombre immuables, et permettent de vous identifier plus facilement que d’autres, on change d’adresse, mais pas de groupe sanguin !
Avec des données plus précises et justes, les pirates peuvent réaliser des arnaques encore plus fines et donc réussies. C’est ce qui donne une valeur supplémentaire aux données de santé.
Notre système de santé est-il devenu une passoire numérique ?
Si nos données de santé sont si convoitées, elles peuvent apparaitre mal protégées. En réalité, l’explosion récente des attaques ciblant des hôpitaux sont avant tout motivées par l’opportunisme des pirates. Nos établissements de santé sont victimes d’investissements souvent insuffisants en matière informatique, notamment car notre système de santé est sous-tension depuis plusieurs années. Outre l’aspect économique, les failles de sécurité ont une origine humaine (professionnels de santé) dans la plupart des cas. Les agents hospitaliers reçoivent et ouvrent des centaines de mails chaque jour : ordonnances, lettres d’adressage, avis médicaux, attestations de droits, bilans sanguins, etc. Il suffit d’un mail vérolé ouvert pour infecter toute une partie de l’hôpital sans les protections adaptées. Pour les professionnels de santé, déjà très sollicités par le manque de professionnels et la crise sanitaire du Covid-19, il est urgent de se former aux risques cyber mais ce n’est pas toujours évident. L’utilisation de messageries sécurisées de santé œuvre aussi à diminuer l’exposition à ces risques, l’accès aux usagers à un tel outil via Mon Espace Santé est en ce sens un pas important en avant.
Nos hôpitaux sont donc ciblés en particulier car ils sont des cibles faciles aujourd’hui. Quant aux enjeux géopolitiques, s’ils ne constituent pas des motivations à ce jour, l’ANSSI prévoit qu’ils puissent potentiellement influencer dans un futur proche le choix des cibles en santé pour les cyberattaques.
Une prise de conscience s’opère, et les actions des agences et autorités publiques, l’ANSSI, Cyber malveillance.gouv, s’accélèrent pour accompagner la transformation des établissements de santé pour une cybersécurité efficace.
Retrouvez les conseils de la CNIL (Commission nationale de l’informatique et des libertés) et de Cyber Malveillance.gouv, pour prévenir et réagir en cas de fuite de données personnelles dans notre infographie.
Sources pour l’infographie :
CNIL : https://www.cnil.fr/fr/comment-reagir-face-une-usurpation-didentite
Cybermalveillance.gouv : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/que-faire-en-cas-de-fuite-de-donnees-
https://www.ameli.fr/assure/actualites/attention-aux-sms-appels-ou-courriels-frauduleux
Laisser un commentaire public