Sur le « Dark web », votre dossier médical vaut de l'or. Plus de 1 300 attaques informatiques contre des établissements de santé français ont été répertoriées au ministère des Affaires sociales en 2015, a indiqué Philippe Loudenot, fonctionnaire de la sécurité des systèmes d'information (FSSI) lors du congrès de l'Association pour la promotion de la sécurité des systèmes d'information en santé au Mans (Apssis).
Selon nos confrères de Ticsante qui relaient cette information, cette liste de cyberattaques ne serait pas exhaustive car ce décompte repose sur des « remontées volontaires ». Elle ne présenterait que la face émergée de l’iceberg.
La menace des « rançongiciels »
Ces attaques illustrent toutefois l’intérêt que portent les pirates informatiques à nos données de santé. Un dossier médical serait revendu 50 dollars (43 euros) contre une trentaine de dollars (26 euros) pour des codes de carte bancaire, selon Jimaan Sané, spécialiste du cyber-risque et souscripteur chez l'assureur Beazley et participant à ce congrès.
Pour y accéder, les hackers utilisent de plus en plus des « rançongiciels ». Ces programmes malveillants se propagent par mail à l’ouverture d’une pièce jointe. Une fois lâchés dans le système, ils bloquent toutes les données et réclament une rançon. Un mode d’action qui se multiplie. Alors que ces cyberextorsions concernaient une vingtaine d’attaques en 2013, elles en représentent aujourd’hui « plus d’une centaine ». Et cette menace est prise très au sérieux puisque le ministère de l’Intérieur a publié une alerte sur son site internet afin de sensibiliser les particuliers et de rappeler les gestes de protection.
Signalement obligatoire
Néanmoins, la France est peu protégée contre ce phénomène. Philippe Loudenot estime qu’il y a « un énorme travail à faire » pour améliorer la sécurité des systèmes informatique encore trop « poreux ».
Alors pour mieux l’appréhender et se défendre, la « loi de modernisation de notre système de santé » oblige dorénavant les établissements de santé et autres organismes de diagnostic et de soins à signaler à l’Agence régionale de santé (ARS) ces « incidents graves de sécurité des systèmes d’information ». Les ARS devront ensuite les transmettre aux autorités.
Reste maintenant à préciser la nature d ces incidents graves et les institutions concernées. Ceci devrait être fait au cours de l’année 2016 dans un décret d’application de la loi.