Qui veut la peau de nos données ?
Afin de comprendre pourquoi les cyberattaques affectent particulièrement les organisations de santé, il est nécessaire de comprendre pourquoi nos données sont précieuses. Les organisations de santé appartiennent également à la catégorie des cibles, car elles reçoivent des dizaines, des centaines de milliers de patients chaque année, avec des informations personnelles détaillées.
Ces cyberattaques répondent à deux logiques :
Pourquoi les données de santé sont-elles le nouvel eldorado des cyberpirates ?
Lorsque nous interrogeons des citoyens ou des patients, la peur de voir leurs données de santé utilisées pour nous nuire est très présente dans les esprits. Mais si nous craignons souvent que notre banque, nos assurances ou notre employeur en prennent connaissance, ce ne sont pas là les gros risques auxquels nous pourrions être exposés. En effet, il serait faux de penser que ces entreprises écument le « dark net » pour compromettre des données sur leurs clients, assurés ou employés. La législation française est également très protectrice contre de tels usages et très peu judicieuse.
Ce qui est précieux dans les données de santé, ce n’est pas leur utilisation potentielle pour nuire à votre réputation ou augmenter vos polices d’assurance. C’est le fait qu’il s’agit de l’information la plus fiable. En effet, pour recevoir les bons soins et les bons remboursements, les établissements ont besoin des données les plus à jour et les plus précises, et il n’y a aucune raison de ne pas les fournir aux consommateurs ! De plus, les données de santé pour un numéro précis sont inchangées, et permettent de vous identifier plus facilement que les autres, on change votre adresse, mais pas votre groupe sanguin !
Avec des données plus précises et exactes, les pirates peuvent réaliser des escroqueries encore plus détaillées et donc réussies. C’est ce qui donne de la valeur ajoutée aux données de santé.
Notre système de santé est-il devenu une passoire numérique ?
Si nos données de santé sont si importantes, elles peuvent sembler mal protégées. En effet, la récente explosion des attaques ciblant les hôpitaux est avant tout motivée par l’opportunisme des hackers. Nos organisations de santé souffrent d’investissements informatiques souvent insuffisants, notamment parce que notre système de santé est sous tension depuis plusieurs années. Outre l’aspect économique, les failles de sécurité ont dans la plupart des cas une origine humaine (professionnels de santé). Chaque jour, le personnel hospitalier reçoit et ouvre des centaines d’e-mails : ordonnances, lettres de référence, avis médicaux, attestations d’admissibilité, tests sanguins, etc. Il suffit d’un e-mail ouvert et infecté pour infecter tout un hôpital sans protection adéquate. Pour les professionnels de santé, déjà très sollicités en raison du manque de professionnels et de la crise sanitaire du Covid-19, la formation aux risques cyber est urgente, mais pas toujours aisée. L’utilisation de messageries de santé sécurisées contribue également à réduire l’exposition à ces risques.En ce sens, l’accès des utilisateurs à un tel outil via Mon Espace Santé est une avancée importante.
Donc, nos hôpitaux sont particulièrement visés parce qu’ils sont aujourd’hui des cibles faciles. Sur le plan des enjeux géopolitiques, s’ils ne sont pas des motivations jusqu’ici, l’ANSSI prédit qu’ils pourraient éventuellement influencer le choix des cibles sanitaires des cyberattaques dans un futur proche.
La prise de conscience monte, et les actions des agences et pouvoirs publics, ANSSI, Cyber malveillance.gouv, s’accélèrent pour accompagner la transformation des organisations de santé pour une cybersécurité efficace.
Retrouvez les conseils d’assurance de la CNIL (Commission nationale de l’informatique et des libertés) et Cyber Malveillance.gouv, pour prévenir et réagir en cas de fuite de données personnelles dans notre infographie.
CNIL : https://www.cnil.fr/fr/comment-reagir-face-une-usurpation-didentite
Cybermalveillance.gouv https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/que-faire-en-cas-de-fuite-de-donnees-personnelles