Suite au vol d’un fichier contenant les données médico-administratives de près de 500.000 patients français (cf. Cyberattaques en série contre les acteurs de la santé), la Commission nationale de l’informatique et des libertés (Cnil) a lancé une enquête mercredi 24 février afin d’« établir les manquements responsables » de cette fuite. Une affaire d’« une gravité particulière » selon Louis Dutheillet de Lamothe, secrétaire général de la Commission, étant donnés le nombre des victimes et la « sensibilité des informations médicales diffusées ».
Quels risques pour les patients concernés ?
Si le marché des données de santé est attractif, -« le prix de ce type d’informations (…) peut aller de quelques milliers à des centaines de milliers d’euros » selon Aroua Biri, experte et docteur en cybersécurité à l’Institut Mines-Télécom-, c’est que les moyens de rentabiliser les données volées sont divers.
Les hackers peuvent crypter les données, les rendant inaccessibles avant de les échanger contre une rançon (cf.A Singapour, des hackeurs volent les données de santé d’1,5 millions d’habitants). Ils peuvent également menacer de diffuser ces données sensibles si la victime refuse de payer. Autre possibilité, « la mise en place d’une stratégie de “phishing” – ou hameçonnage –personnalisé ». Avec un message « calibré par rapport au destinataire, [qui] contient des informations que seul un proche peut connaître », le pirate informatique « incite à cliquer sur un lien afin de récolter d’autres informations, comme des identifiants bancaires ».
Avec les informations récupérées, le hacker peut encore essayer d’usurper l’identité de la victime. « Les informations peuvent servir à réclamer des actes d’état civil pour constituer des dossiers ou à contracter des crédits en ligne par exemple », explique Nicolas Arpagian, enseignant à l’École nationale supérieure de la police.
« Derrière les attaques se cachent de véritables PME du ransomware, des entreprises “2.0” du crime, pilotées par des spécialistes en cybersécurité qui embauchent des développeurs, affirme Pierre Lorcy, spécialiste en cybersécurité. Ils conçoivent les logiciels malveillants, puis les déposent dans des plateformes Software as a service (Saas), souvent dissimulées dans des failles de sécurité de sites Internet grand public. » Des plateformes qui « fonctionnent comme des magasins, mis à disposition des hackers moyennant paiement » explique le spécialiste. Les hackers n’ont alors plus qu’à « piocher les outils avant d’envoyer des centaines de mails à des cibles bien précises (des hôpitaux, par exemple) ».
Le secret médical en péril ?
Pour le président de l’Ordre des médecins du Loiret, Christophe Tafani, ce type de fuite était « prévisible ». « On le savait quand on a mis en place les dossiers médicaux informatisés. Le secret médical n’est plus ce qu’il était », estime-t-il (cf. Données de santé : “Votre dossier médical est comme une empreinte digitale de votre vie entière”).
Le médecin rappelle par ailleurs que « depuis la loi Kouchner de 2002, les patients (ou les proches) ont le droit de récupérer les dossiers médicaux ». « Un autre type de rupture de secret médical ». Et « aujourd’hui, les entités comme les banques et assurances ont accès à un certain nombre de données médicales ».
Des sanctions possibles
En cas de vol de données avéré, « il incombe aux organismes concernés qui ne l’auraient pas déjà fait, de procéder à une notification auprès de la Cnil, dans les 72 heures suivant le moment où ils en ont pris connaissance », rappelle la Cnil. Mercredi 24 février elle n’avait pas encore reçu de notification. Les sanctions peuvent « atteindre 4% du chiffre d’affaires » en vertu du règlement européen sur la protection des données (RGPD).
Par ailleurs, « lorsque la fuite de données est susceptible d’engendrer un risque élevé pour les droits et les libertés, les organismes responsables ont l’obligation d’informer individuellement les personnes concernées ».
L’Agence nationale de la sécurité des systèmes d’informations (Anssi) indique de son côté « avoir identifié l'”origine” de la fuite des données de santé, et l’avoir signalée au Ministère des Solidarités et de la Santé en novembre 2020 ».
Sources : La Croix, Hippolyte Radisson (25/02/2021) ; Sciences et avenir, AFP (24/02/2021) ; La République du centre, Sylvain Riollet et Anaïs Rambaud (24/02/2021) ; L’Humanité, Cyprien Boganda (25/02/2021) ; La Revue du Digital (24/02/2021)
