Les cyberattaques semblent désormais faire partie de notre quotidien. Le domaine de la santé est particulièrement ciblé, pour ses données médicales sensibles. Qu’attend-on pour renforcer leur protection ? Les usagers du système de santé sont en droit d’espérer une réponse à la hauteur.
Fin janvier, deux organismes gestionnaires du tiers-payant, couvrant 33 millions d’assurés sociaux ont été victimes d’une cyberattaque ayant occasionné une fuite de données. L’ampleur de cet incident est sans précédent, avec la moitié de la population potentiellement concernée.
Nom, prénom, numéro de sécurité sociale sont les données les plus concernées concernant les usagers, mais elles comprennent aussi le nom de l’assureur et les garanties de leur contrat dans ce cas. Ce n’est pas la première fois que de telles données se retrouvent dans la nature.
Si pour l’instant aucune donnée d’ordre médical ou de contact ne semblent avoir été dérobés et exposés, nous attendons avec attention les résultats de l’enquête, chapeautée par la Commission nationale de l’information et des libertés (CNIL). Elle tentera de confirmer le nombre réel de personnes concernées par la fuite et la nature définitives des données.
Le système de santé de ville : le grand oublié de la cybersécurité
Face à la multiplication des menaces, sommes-nous assez préparés alors que les prochains Jeux Olympiques augurent d’une pression accrue sur nos systèmes informatiques ?
Dans les hôpitaux et établissements médico-sociaux, le programme CaRE, pour Cybersécurité accélération et Résilience des Établissements, lancé par le ministère de la Santé avec l’Agence du Numérique en Santé et l’Agence nationale de la sécurité des systèmes d’informations constitue une avancée importante, avec notamment des efforts financiers consentis pour faire grimper d’un cran les capacités des établissements.
En revanche, le bât blesse ailleurs, et pas seulement du côté des gestionnaires de tiers payants. Les fuites de données témoignent en effet d’un manque criant de moyens dédiés aux professionnels de santé libéraux. Il s’agit rien moins que de les équiper techniquement, de les sensibiliser et de leur apporter des compétences de base pour comprendre et pouvoir répondre de manière appropriée aux menaces cyber. S’ils sont moins ciblés que les établissements de santé, ils ne sont pas à l’abri, et ils constituent des points de vulnérabilité pour un certain nombre de services numériques.
33 millions, plus jamais ça !
Il n’en demeure pas moins que l’aspiration des données de 33 millions d’usagers n’est pas anodine et que de sérieuses questions concernant les mécanismes de protection informatique mis en œuvre se posent légitimement. Si l’enquête devra confirmer l’ampleur exacte des données dérobées, souvent exagérées par les cyberpirates pour faire monter les prix, les hypothèses d’une récupération progressive des ces données massives pourraient mettre en cause les process de surveillance et de cloisonnement de certaines des données collectées.
Dans le cas de Viamedis et Almérys, l’impossibilité de tiers-payant, pour certains patients, a pu constituer une motivation de décalage ou de renoncement aux soins supplémentaires, malgré les efforts réalisés pour maintenir les flux des remboursements dans de nombreuses situations. L’impact aurait notamment pu être problématique pour des patients en sortie d’hospitalisation avec des restes à charge importants.
Les moyens publics semblent insuffisants à ce jour, en particulier en ce qui concerne le dimensionnement de la CNIL. A l’heure ou le ministère du Numérique est rétrogradé au rang de secrétariat d’Etat, nous nous interrogeons franchement sur les ambitions publiques face à une menace bien réelle.
De la transparence et une information digne de ce nom
Il aura fallu quelques jours pour qu’une information claire sur la fuite des données et les comportements à adopter soit partagée sur les pages internet publiques de Viamedis, après de premiers éléments partagés sur les réseaux sociaux et/ou les médias, tandis que le site d’Almérys fait, lui, l’impasse sur le partage d’information. Difficile de s’y retrouver pour les usagers contactés progressivement par leur mutuelle, face au flot médiatique !
Dès le 6 février, France Assos Santé communiquait auprès de ses associations membres et de ses représentants des usagers en Caisse de sécurité sociale les informations à date concernant cette fuite et la nature des risques principaux encourus par les assurés concernés. Le relai de ressources pédagogiques, des conseils de la CNIL et du site cybermalveillance.gouv sont impératifs. Les usagers restent encore trop souvent démunis, car leurs professionnels de santé le sont souvent aussi. Et on peut parier que l’inquiétude générée par cette affaire sera hélas propice à entraîner de nouvelles tentatives de hameçonnage, y compris chez les usagers non concernés.
Si le risque zéro n’existe pas, donnons-nous les moyens collectivement d’une réponse à la hauteur !
Tentatives de hameçonnage, suite : des cyber-pirates se font aussi passer pour France Assos Santé !
Envoyés par sms ou mails, des messages demandent aux destinataires de cliquer sur un lien pour mettre à jour leur carte Vitale ou leurs droits sociaux pour éviter, prétendument, la suspension temporaire de leurs remboursements.
Nous rappelons que France Assos Santé n’a pas de lien avec la mise à jour des cartes Vitales ou des droits sociaux, et qu’aucun organisme de Sécurité sociale (lire assurance maladie) – ni d’ailleurs les mutuelles et complémentaires santé – ne contactera jamais, via ces canaux, les assurés pour des mises à jour de ce type. Ces organismes passent uniquement par leurs sites internet, avec identification sécurisée des assurés.
Retrouvez nos conseils pratiques ici. Consulter également les sites de la CNIL et, pour le modèle de lettre de plainte, le site gouvernemental cybermalveillance.gouv
