Il n’y a pas que Sony et le Pentagone qui intéressent les hackers. Les données de santé font elles aussi l’objet de cyberattaques, dont le nombre ne cesse de croître depuis quelques mois.
Le dernier exemple en date a eu lieu aux Etats-Unis. Ce mercredi, la compagnie d’assurance santé américaine CareFirst a annoncé s’être fait pirater son système informatique. Les hackers auraient en leur possession les données personnelles de plus d’un million d’assurés – accès à l’espace client (login et mot de passe), dates de naissance, adresses e-mail…
L’attaque a eu lieu en juin 2014, mais n’a été découverte que récemment, lorsque la compagnie d’assurance a voulu vérifier que son système informatique était intact après le piratage de plusieurs grands groupes spécialisés dans la santé (Anthem, Premera et Community Health Systems). Une démarche effectivement prévoyante.
Cette fois-ci, les données médicales ont été épargnées, contrairement à l’attaque qui frappé Anthem, l’un des poids lourds de l’assurance santé aux Etats-Unis. En janvier, les pirates se sont en effet emparés des données de dizaines de millions de clients, comprenant leurs noms, dates de naissance, numéros de sécurité sociale, informations médicales, revenus…
Une hausse de 600 % d’attaques contre les hôpitaux
Les cyberattaques des données de santé sont prises très au sérieux par les autorités des Etats. En effet, 2015 sera « l'année du hack des hôpitaux », prédisait en décembre la revue MIT Tech Review, en citant un chiffre qui ne manquera pas d’interpeller. Ainsi, les intrusions dans les systèmes informatiques des hôpitaux auraient augmenté de 600 % depuis un an, selon les calculs de Websense, une agence de cybersécurité qui travaille pour le ministère de la Défense américain.
« Pour les organisations du monde de la santé, la question n'est pas de savoir si elles vont se faire attaquer, mais quand », écrit Lynne A. Dunbrack, Vice-Présidente des Recherches à l’Institut IDC Health Insights et auteur du rapport 2014 sur les cybermenaces dans le secteur de la santé.
Des proies faciles
En France, la menace plane. Pas plus tard qu’il y a deux mois, Labio, un laboratoire de biologie médicale, en a effectivement fait les frais. Quelques 40 000 identifiants et des centaines de bilans médicaux et d’analyses sanguines se sont retrouvés entre les mains du groupe de hackers Rex Mundi, qui a exigé 20 000 euros de rançon en échange de la non-publication de ces données. Face au refus d’obtempérer du laboratoire, les bilans non cryptés de quelques patients ont été divulgués sur Internet, et consultables par tout un chacun pendant plusieurs jours.
De fait, les pirates semblent s’être progressivement désintéressés des banques, aux systèmes informatiques trop complexes, pour se pencher sur les établissements de santé et les entreprises du secteur médical. Faute de moyens, ou de clairvoyance, ces derniers ont investi des sommes très modestes dans leur cybersécurité, et constituent donc des proies faciles.
Espionnage industriel, marché noir
Selon le site Internet du Figaro, qui a enquêté sur le sujet, les hackers revendent également ces données aux compagnies d’assurance, qui peuvent alors ajuster leurs tarifs grâce à des informations plus précises. L’industrie pharmaceutique serait elle aussi intéressée par ces données, afin d’établir des statistiques et d’affiner leurs stratégies marketing. « Beaucoup de diabétiques en Alsace? On cible donc la vente d'insuline sur l'Alsace », imagine Vincent Trely, président de l'Association pour la promotion de la sécurité de systèmes d'information de santé (APSSIS), cité par le journal.
Prudente, la CNIL (Commission nationale de l'informatique et des libertés) a produit une fiche sur son site Internet, intitulée « Données de santé : un impératif, la sécurité ». Elle fournit des recommandations afin d'« assurer la sécurité des données enregistrées » et d'« empêcher qu’elles ne soient divulguées ou utilisées à des fins détournées, surtout s’il s’agit d’informations couvertes par le secret médical ». Avec l’ouverture des données de santé et la création d’une base informatique les centralisant, cette problématique pourrait être d’autant plus d’actualité. Même si on peut parier sur le fait que les serveurs seront davantage protégés que ceux des hôpitaux. Espérons-le !