Cyberattaque d’un hôpital de Corbeil-Essonnes : Pourquoi nos données de santé sont-elles si convoitées ?
HACKING Un rançongiciel handicape fortement l'activité de l'établissement hospitalier Sud-Francilien de Corbeil-Essonnes depuis dimanche et rappelle à quel point les données de santé mal protégées sont un enjeu majeur de sécurité
- Alors que l’établissement hospitalier de Corbeil-Essonnes est le dernier en date en France victime d’une cyberattaque dimanche, les enjeux autour des données de santé semblent plus que jamais gigantesques.
- Reconnues comme particulièrement sensibles, elles n’ont aujourd’hui pas le traitement qu’elles méritent et les faiblesses qui entourent leur sécurité en font un bien très convoité.
- Pour Yosra Jarraya, cofondatrice d'Astrachain, spécialisée dans la sécurisation de la confidentialité des données sensibles, « les données de santé figurent parmi les plus lucratives sur le darknet. Plus elles sont sensibles, plus leur côte est élevée, plus elles rapportent d’argent aux hackers ».
EDIT du 5 décembre 2022 : L'établissement hopitalier de Versailles est la cible d'une cyberattaque depuis samedi soir, ce qui perturbe très sérieusement son activité. Certaines activités du bloc opératoire ont été déprogrammées et l'hôpital «met tout en oeuvre» pour maintenir les soins ambulatoires et les consultations. Cette cyberattaque fait écho à celle de l'établissement hospitalier de Corbeil-Essonnes, visé cet été et à l'occasion de laquelle, 20 Minutes avait passé en revue la valeur des données de santé.
En 2015, des experts en cybersécurité américains affirmaient à la suite du piratage d’Anthem, une des compagnies d’assurances les plus renommées et durant lequel des dizaines de millions de data personnelles avaient été compromises, qu’ils vivaient « l’année du piratage des données de santé ». Sept ans plus tard, c’est toujours le cas. Alors que l’établissement hospitalier de Corbeil-Essonnes est le dernier en date en France victime d’une cyberattaque dimanche, les enjeux autour des données de santé semblent plus que jamais gigantesques.
Reconnues comme particulièrement sensibles, elles n’ont aujourd’hui pas le traitement qu’elles méritent et les faiblesses qui entourent leur sécurité en font un bien très convoité. « Aujourd’hui, il y a quatre types de cyberproblèmes, comptabilise Vincent Trély, président fondateur de l’Apssis, l’association pour la promotion de la sécurité des systèmes d’information de santé. Le cyberespionnage, mené par les Etats et dont les Américains avec la NSA, sont les champions toutes catégories, la cyberguerre, dans laquelle on est plongés depuis six mois, le cyberactivisme et la cybercriminalité ». Pour l’expert, les données de santé jouent dans tous les cas un rôle prépondérant.
De gros enjeux… surtout financiers
« Elles figurent parmi les plus lucratives sur le darknet, assure Yosra Jarraya, cofondatrice d'Astrachain, spécialisée dans la sécurisation de la confidentialité des données sensibles. Et plus elles sont sensibles, plus leur côte est élevée, plus elles rapportent d’argent aux hackers ». Les raisons de cette valeur marchande si élevée ? Chantage, vol d'identité, réputation entâchée, etc... Les raisons sont multiples. L’experte parle d’un véritable business où la loi du plus fort s’applique : « on s’attaque aux plus faibles, qui rapportent le plus d’argent, il n’y a pas de morale ». Et comme dans tout Far West, la menace est énorme.
« Au-delà de l’aspect financier, les victimes de ces vols de données peuvent subir un traumatisme bien plus dramatique, sachant qu’elles sont déjà affaiblies », s’attarde encore Yosra Jarraya. « Imaginez que les hackers appellent directement les malades et leur disent "envoyez-nous 800 euros ou on met tous les éléments sur les réseaux sociaux et votre famille et votre employeur sauront que vous êtes schizophrène" », renchérit Vincent Trély. Un vrai scénario de série ? Pas uniquement : le cas s’est produit en Finlande à la fin de l’année 2020. Glaçant.
Des préjudices moraux énormes
Concernant l’établissement hospitalier Sud-Francilien de Corbeil-Essonnes, « rien ne prouve que l’attaque soit ciblée », analyse Vincent Trély. « Je pencherais même plus pour une attaque en filet, au vu du montant de la rançon demandée. 10 millions de dollars, c’est une somme classique, comme 300.000 ou 600.000 dollars ». Or, comme le pense l’expert, pour espérer obtenir une telle somme, les hackers n’ont pas visé au bon endroit. « LVMH ou Dassault paieraient peut-être ce montant, mais pas un hôpital public. Jamais. Aucune chance ». Ce qui laisse penser donc que le pirate a lancé son virus au hasard d’adresses mail collectées, et qu’il a « pêché » l’hôpital. « Pour rappel, 90 % des attaques par rançongiciel sont opportunistes et non ciblées ».
Or, si tout le monde s’accorde sur la sensibilité et la très haute valeur des données détenues par les établissements de santé, une vulnérabilité supplémentaire s’ajoute : « le manque de moyens des hôpitaux publics se répercute sur les investissements liés à la cybersécurité qui sont sous-dimensionnés alors qu’une attaque du système informatique avec demande de rançon met en jeu la vie des patients », précise Yosra Jarraya. « Un hôpital mis à l’arrêt, c’est une catastrophe », abonde Vincent Trély. Et dans un système où la quasi-totalité des métiers est informatisée, on s’astreint à un retour en arrière, avec papier et crayon comme seuls outils. « Selon la virulence du virus, s’il touche le cœur des infrastructures, IRM, scanners, admission des patients, gestion des lits, monitoring en temps réel des patients, ect… sont mis à l’arrêt », ajoute-t-il.
Sécuriser encore et toujours
Peut-on espérer une sécurisation rapide du milieu hospitalier compte tenu de la « bonne centaine de cyberattaques visant des hôpitaux en France l’an dernier », selon l’expert ? « Il y a un vrai besoin d’éduquer les personnels sur les risques liés à la cybersécurité, martèle-t-il. Le responsable informatique d’un hôpital doit arrêter d’être vu comme un paranoïaque qui emmerde son monde lorsqu’il demande un changement de mot de passe tous les trois mois et douze caractères minimum ».
Mais l’annonce du plan d’investissement de 350 millions d’euros dans la cybersécurité début 2021 par Emmanuel Macron donne des raisons d’espérer. « On est en plein milieu de la mise en œuvre de ce programme qui va permettre aux hôpitaux de faire un bond en avant, positive Vincent Trély. L’hôpital a dix ans de retard sur le CAC40 ». Constat partagé par Yosra Jarraya dont la société, Astrachain, propose une alternative au chiffrement pour protéger les données sensibles.
La cyberguerre Ukraine-Russie, un potentiel nouveau risque
Comme Voldemort dans la saga Harry Potter qui sépare son âme en plusieurs morceaux avant de les disséminer aux quatre coins du pays magique, la solution technique d’Astrachain s’appuie sur des algorithmes de fragmentation qui permettent de sécuriser la confidentialité des données. « Elles sont illisibles et inexploitables tant qu’on n’a pas rassemblé une quotité de fragments » expose la CEO de l’entreprise. Mais pour l’heure, difficile d’y voir la solution miracle : « les hôpitaux sont rarement les premiers à adopter une nouvelle technologie, il faut du temps pour les convaincre », regrette-t-elle.
Et dans cette course contre-la-montre, la guerre en Ukraine peut aussi jouer les trouble-fêtes et attiser toujours plus de convoitise. « Si la Russie décide d’activer ses missiles cyber en mettant à l’arrêt le système de régulation des trains, de paiement des fonctionnaires et une vingtaine d’hôpitaux autour de Paris, les données de santé seront encore mis à mal », considère Vincent Trély. Dans un scénario du pire où véroler le système de santé est une arme de paralysie massive, ces dernières pourraient courir un risque toujours plus grand d’être révélées et exploitées par les hackers.