De quelle manière se manifeste un piratage ?
Ces derniers temps, de nombreux hôpitaux ont été victimes de piratage et plus particulièrement de rançonnage. Cette forme de hacking est réalisée par le biais d’un logiciel appelé rançongiciel qui paralyse les ordinateurs et le système informatique de la structure, perturbant ainsi son fonctionnement, le temps d’obtenir une rançon en contrepartie du rétablissement du bon fonctionnement.
En effet les hackers ont pu profiter du contexte sanitaire tendu, pour cibler plusieurs hôpitaux. Ces derniers étant surchargés à cause de la Covid-19, ils auraient pu être tentés de payer la rançon pour retrouver l’accès plus rapidement au système informatique. Depuis le 1er novembre 2020, les attaques informatiques contre les hôpitaux et les établissements de santé ont augmenté de plus de 45 % contre 22 % dans les autres domaines.
Et une panne de ce genre peut entrainer de graves conséquences : cela a été le cas pour une citoyenne allemande qui est décédée lors de son transfert pour une opération urgente vers un autre hôpital que le sien, lequel avait fait l’objet d’une cyberattaque, l’opération n’étant pas réalisable. Un piratage peut en effet paralyser les appareils tels que les IRM, scanners, et bien d’autres encore.
L’Agence nationale de la sécurité des systèmes d’information (l’ANSSI) alerte d’ailleurs sur le fait que « les entités du secteur de la santé représentent l’une des cibles privilégiées des hackeurs, en particulier dans le contexte de pandémie liée à la Covid-19 ».
En 2020, on recense 27 attaques de ce type selon Cédric O ; et depuis le début de l’année 2021, un établissement de santé est victime chaque semaine d’une cyberattaque, a rajouté Olivier Véran.
Mais outre la perturbation du bon fonctionnement de la structure, les données contenues dans ces derniers peuvent être mises en danger.
À la fin de l’été, 700 000 citoyens ont vu leurs données personnelles fuiter lors du transfert des résultats de tests PCR ou antigéniques en pharmacie vers le portail SI-DEP. Les résultats de leurs tests étaient ainsi accessibles ainsi que certaines de leurs données personnelles. La CNIL a d’ailleurs récemment mis en demeure la plateforme qui s’occupait du transfert de ces données et qui a subi une faille, pour une meilleure sécurisation (cf. “Mise en demeure de Francetest par la CNIL : les risques de la protection des données de santé à l’ère du numérique” Ludwig Gal).
Plus récemment encore, c’est l’Assistance publique-Hôpitaux de Paris qui a fait l’objet d’une attaque informatique faisant fuiter les données personnelles rentrées par les patients dans le portail SI-DEP. Ce portail web permet d’obtenir son certificat de test de dépistage, c’est-à-dire le QR code. Pour connaitre le résultat, il faut indiquer plusieurs données à caractère personnel telles que le nom et prénom, les adresses mail et postale, le numéro de sécurité sociale, le numéro de téléphone, la date de naissance.
Durant l’été, ce sont ainsi les données de 1,4 million de français ayant effectué un test PCR ou antigénique en 2020 qui ont vu leurs données fuiter. Ces dernières ont été publiées en libre accès sur une plate-forme de téléchargement hébergée en Nouvelle-Zélande selon Martin Hirsch, Directeur général de l’Assistance publique – Hôpitaux de Paris.
Quel est le risque d’un tel piratage ?
Les données personnelles permettent d’identifier une personne par des caractéristiques qui lui sont propres. Si elles sont récupérées par une personne mal intentionnée, on peut craindre un hameçonnage (envoi de messages et emails prenant l’apparence d’une structure dans le but d’obtenir le plus souvent des données de paiement), une usurpation d’identité, ou encore le piratage de comptes utilisant le numéro de sécurité sociale.
Que faire ?
Tout d’abord les patients victimes de cette fuite de données doivent être informés individuellement. En effet, quand le risque de fuite de données personnelles est important, le responsable de traitement doit informer les personnes concernées de manière individuelle.
De plus, le gouvernement a indiqué vouloir accroitre la vigilance, effectuer des sensibilisations et formations plus efficaces pour les employés, ce qui permettrait d’éviter certaines de ces problématique. En effet s’il s’agit pour la plupart du temps de hackeurs qui s’introduisent dans le système à cause d’une faille, le corps médical peut aussi être responsable en commettant des erreurs manuelles : c’est la technique de l’ingénierie sociale utilisée par les pirates, consistant en la manipulation psychologique de l’interlocuteur, pour l’escroquer. Ces attaques reposent souvent sur la ruse. Le hackeur va utiliser les émotions de son interlocuteur ainsi que ses habitudes, tel que le fait de le mettre en confiance pour faire diminuer sa vigilance. Tout doit donc être mis en œuvre pour minimiser le risque.
Les attaques informatiques ayant quadruplé en 2020, dont 11 % visant des hôpitaux, en début d’année 2021, Emmanuel Macron a annoncé mettre en œuvre un plan d’un milliard d’euros pour pallier à ces problèmes et renforcer la cybersécurité des systèmes informatiques. Le président a en effet toujours donner aux hôpitaux et administrations « pour consigne stricte de ne jamais payer » de rançons.
SOURCES
- Site web topsanté.com
- Le Monde, Pixels – Sécurité informatique, 17 septembre 2020
- Rapport de l’ANSSI
- Site web de la CNIL