Quels risques représente la fuite des données médicales de près de 500.000 patients ?

CYBERSECURITE Près de 500.000 patients français sont concernés par cette fuite de données provenant de laboratoires du quart nord-ouest de la France

Lucie Bras

— 

Un hacker (image d'illustration).
Un hacker (image d'illustration). — NICOLAS ASFOURI / AFP
  • Adresse postale, téléphone, mail, numéro de Sécurité sociale… Ces données sont désormais disponibles dans un fichier qui circule sur Internet, et qui concerne 491.840 patients français.
  • Après les hôpitaux de Dax et Villefranche-sur-Saône, ce sont cette fois des laboratoires qui ont été visés. Des attaques informatiques qui se multiplient actuellement contre les établissements de santé en France.
  • « On a très peur de la fuite de ses données de carte bleue, mais en France, la réglementation est extrêmement protectrice. Alors que les données de santé, une fois qu’on sait, c’est irréversible. Ça va être enregistré sur Internet, ça va être indexé sur les moteurs, il peut y avoir des conséquences à moyen, voire à long terme », commente Gérôme Billois, expert en cybersécurité.

La fuite est massive. Un fichier contenant les données médicales de 491.000 patients français a été publié sur Internet par des pirates informatiques, révèle Libération ce mercredi. Ces données, issues d’une trentaine de laboratoires situés dans le nord-ouest de la France, correspondent à des prélèvements effectués entre 2015 et octobre 2020. Une fuite inquiétante qui donne libre accès à des données très privées de patients. Comment réagir et comment se protéger ? « 20 Minutes » fait le point.

Comment ces données ont-elles été publiées sur Internet ?

La fuite a été identifiée pour la première fois par Damien Bancal, journaliste spécialiste de la cybersécurité, qui affirme que l’on peut retrouver ce fichier à « sept endroits différents sur Internet ». Selon lui, ce fichier était l’objet de discussions sur une chaîne Telegram turque de piratage. « L’un d’entre eux est un pirate turc assez connu pour la vente de données », a-t-il précisé auprès de Libération.

Ce fichier, qui contient énormément de données, a une grande valeur pour ces pirates, mais il a été publié gratuitement sur le Web. Selon Damien Bancal, une dispute entre les pirates aurait conduit l’un d’entre eux à publier gratuitement le fichier, ou un extrait de ce fichier, prévient-il. « 500.000 données, c’est déjà énorme et rien n’empêche de penser que les pirates en possèdent encore beaucoup plus », a-t-il déclaré à l’AFP.

Comment savoir si on est concerné par les fuites ?

Pour chaque piratage de données, il existe des sites qui permettent d’interroger si on est concerné ou pas. Pas cette fois. « A ma connaissance, cela n’a pas encore été fait aujourd’hui », commente Gérôme Billois, expert en cybersécurité chez Wavestone. « Dans ce cas, un tel site remettrait en cause la confidentialité des données, en exposant toutes les autres personnes concernées. Si on est client d’un laboratoire dans le nord-ouest de la France, il y a de fortes chances qu’on soit concerné », résume-t-il.

S’il est possible de contacter son laboratoire pour savoir si l’on fait partie des victimes, la loi impose aux établissements concernés par une cyberattaque de prévenir les autorités dans un délai de 72 heures. Le choix peut ensuite être fait de prévenir les personnes concernées. La Cnil, le gendarme des données en France, a cependant indiqué ce mercredi ne pas avoir été notifiée par les établissements en question.

Quelles conséquences peut-il y avoir pour les utilisateurs dont les données ont été divulguées ?

« Grossesse », « VIH » ou « traitement »… Ces données sont très intimes pour les patients. « C’est la pire fuite qui existe », commente Gérôme Billois. « On a très peur de la fuite de ses données de carte bleue, mais en France, la réglementation est extrêmement protectrice pour ces données-là. Alors que les données de santé, une fois qu’on sait, c’est irréversible. Ça va être enregistré sur Internet, ça va être indexé sur les moteurs, il peut y avoir des conséquences à moyen, voire à long terme. » Autre conséquence possible : dans ces fichiers figurent des mots de passe, des identifiants, des numéros de téléphone et des adresses mail. Ces données pourraient permettre à des personnes malveillantes d’accéder à d’autres services utilisés par ces patients, comme une boîte mail, mais aussi de monter des arnaques plus réalistes en utilisant ces informations avérées.

Les conséquences seront aussi judiciaires. Hervé Morin, président du Conseil régional de Normandie, concerné par cette fuite, a « esquissé la possibilité d’une plainte au pénal », indique Libération. « Il y aura des conséquences judiciaires », affirme l’expert en cybersécurité. « Une enquête doit déterminer les responsabilités partagées entre les attaquants initiaux et la responsabilité du laboratoire. Ces établissements pourront aussi être sanctionnés d’une amende », commente Gérôme Billois. La Cnil a annoncé ce mercredi avoir lancé une enquête. « S’il existe un risque élevé pour les droits et libertés des personnes physiques, les entreprises doivent également notifier individuellement » les victimes de la fuite, a ajouté Louis Dutheillet de Lamothe, secrétaire général de la Cnil.

Qu’est-ce qui est prévu pour aider les établissements de santé à gérer ces problèmes ?

Cette cyberattaque dans le secteur médical s’ajoute à celle des hôpitaux de Dax et Villefranche-sur-Saône, les 8 et 15 février derniers. Une recrudescence d’événements qui a amené le gouvernement à déployer de nouveaux budgets pour renforcer la sécurité de ces établissements de santé. « Les hôpitaux devront désormais mettre 5 à 10 % de leur investissement informatique dans la cybersécurité. Cédric O et Olivier Véran l’ont rappelé la semaine dernière », selon Gérôme Billois. C’est aussi ce qui est recommandé aux PME et TPE, en retard sur le sujet. « La plupart du temps quand ces entreprises investissent dans les logiciels, ils n’ont pas la sécurité intégrée par défaut. C’est comme si on achetait une voiture sans ceinture. Et faire poser des ceintures, ça peut coûter assez cher », commente-t-il.

L’exécutif a prévu d’affecter un milliard d’euros, dont 720 millions de fonds publics, pour renforcer la filière cybersécurité, et de tripler son chiffre d’affaires à 25 milliards d’euros en 2025. En attendant les résultats de cet investissement, le site cybermalveillance.gouv.fr a été mis en place pour aider les entreprises à signaler un acte de malveillance ou contacter des experts pour mieux se protéger.