Dans le monde, au cours des deux derniers mois, « une cyberattaque visant les systèmes informatiques du secteur de la santé a eu lieu tous les trois jours ». Dans ce contexte, « une tribune internationale publiée mardi et signée par plusieurs prix Nobel de la paix, des anciens présidents, des responsables d’ONG (…) appelle à mettre fin aux cyberattaques sur les hôpitaux, et rappelle aux Etats leurs obligations de protection, particulièrement en ces temps de pandémie ». « Le président de Microsoft Corp, Brad Smith, et l’ancienne secrétaire d’État américaine, Madeleine Albright, figurent parmi les 42 cosignataires de la lettre initiée par l’institut non gouvernemental CyberPeace » et portée par la Croix Rouge.
En avril, les prestataires de soins de santé, les assureurs et autres entreprises du secteur aux Etats-Unis ont signalé au gouvernement fédéral « 38 infractions touchant près de 446 000 patients ». Ce qui constitue néanmoins « une baisse de 55,8 % par rapport au nombre de patients touchés par les infractions signalées en avril de l’année dernière », où « les organisations avaient signalé 50 infractions touchant un peu plus d’un million de personnes », selon les données du HHS, le Département de la Santé et des Services sociaux des États-Unis. « En mars 2020, les organisations ont signalé 39 violations qui ont exposé des données sur plus de 834 000 personnes. »
L’attaque « la plus impressionnante » récemment « a eu lieu mi-mars en République Tchèque, à l’hôpital de Brno ». Une attaque par rançongiciel qui a infecté « tous les ordinateurs ». La conséquence : « le système informatique (…) planté, des opérations chirurgicales urgentes (…) reportées, les patients réorientés ». Et « les répercussions durent près d’une semaine ». Une expérience également vécue par le CHU de Rouen « en novembre dernier » qui « avait vu 6000 de ses ordinateurs infectés en quelques secondes ».
Pour Stéphane Duguin, président du CyberPeace Institute et signataire de la tribune, « il y a des difficultés financières, géopolitiques et technologiques à sécuriser le secteur de la santé. Ce qui laisse beaucoup d’espace aux cybercriminels ». « Lui et les autre signataires appellent désormais les Etats à “tout mettre en œuvre” pour sécuriser leurs systèmes de santé, en y allouant des ressources technologiques et financières suffisantes. Et à se doter d’un “système judiciaire performant” pour que les cybercriminels soient “conduits devant la justice” ».
Au cours des derniers mois, au-delà des cybercriminels qui « ont ciblé les hôpitaux avec des virus informatiques, généralement dans le cadre de plans d’extorsion ou de rançon pour leurs données », « des groupes de piratage plus sophistiqués, tels que ceux associés aux gouvernements, ont également ciblé des centres de recherche médicale pour voler des données précieuses sur les traitements COVID-19 ».
Pour aller plus loin :
Cybermalveillance : l’alerte et les recommandations du Sénat
La cybersécurité : un enjeu primordial pour les données de santé
Kaiser Health News (26/05/2020) – Europe 1, Salomé Legrand (26/05/2020) – Reuters, Christopher Bing (26/05/2020)