[vc_row content_placement= »middle »][vc_column width= »1/2″][vc_column_text]

Ces dernières années, les données de santé sont la cible de piratages informatiques réguliers, notamment dans les hôpitaux. La cybersécurité est désormais un enjeu central pour les pouvoirs publics, comme pour les établissements de santé.

[/vc_column_text][/vc_column][vc_column width= »1/2″][vc_single_image image= »271″ img_size= »large »][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]

WannaCry, Locky, Cryptowall… Si ces dénominations obscures sont peu connues du grand public, elles sont douloureusement familières à certains hôpitaux et établissements de santé, touchés récemment par des ransomwares : ces logiciels malveillants bloquent les systèmes informatiques et réclament des rançons à leurs victimes, sous peine de ne jamais récupérer leurs données. Ces attaques constituent actuellement la représentation la plus visible du danger qui pèse sur les données de santé, nouvelles cibles de la cybercriminalité depuis la numérisation des systèmes de soins en France.

Qu’est-ce qu’une donnée de santé ?

Créée en 2009, l’Agence des Systèmes d’Information Partagés de Santé (ASIP Santé) a défini en 2012 les données de santé comme « une donnée susceptible de révéler l’état pathologique de la personne ». Une définition large et assez floue, précisée en mai 2016 par un nouveau règlement européen, qui entrera en vigueur en mai 2018 : il s’agit de « données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».

« Ça va d’une ordonnance ou une prescription, à un rendez-vous avec un cancérologue, qui peut présupposer que la personne a un cancer », décrypte Vincent Trely, président fondateur de l’Association pour la promotion de la sécurité des systèmes d’information de santé (APSSIS), créée en 2010 pour lutter contre les piratages de ces informations.

Pourquoi intéressent-elles les hackers ?

« Le problème est simple : la donnée de santé a une valeur. Il y a même sur le Dark Net [face cachée du Web, marché parallèle où s’échangent armes, drogues, produits de contrebande…] une cotation du dossier médical, qui va de 30 à 200 dollars. En ce moment, il s’échange à peu près à 60 dollars. Un hacker qui vole une base de données de 100 000 à 300 000 patients, on va la lui acheter plusieurs millions », explique Vincent Trely. Le but de ces piratages ? Revendre les informations à des entreprises qui en ont besoin (compagnies d’assurances, laboratoires pharmaceutiques…) ou même à des États « dans le cadre de l’espionnage global », assure le président de l’APSSIS. « J’ai du mal à y croire », répond Alexis Normand, responsable développement de la branche santé digitale de Nokia et auteur du livre Prévenir plutôt que guérir, la révolution de la e-santé (Eyrolles, 2017). « Ce n’est pas le responsable commercial d’une assurance qui va acheter ces données sur le Dark Net pour savoir s’il vous assure ou non. Il y a un marché légal des données agrégées non nominatives. De là à ce qu’il y ait un marché noir de cette donnée-là, je ne vois pas pourquoi. Ça me paraît de l’ordre du fantasme. »

Difficile de trancher tant le Dark Net est, par définition, opaque. Mais bien plus que le vol, c’est bien la demande de rançon qui est à la mode. « En France, les attaques de « rançongiciels » [nom francisé des ransomwares] ont augmenté de 750% entre 2015 et 2016″, indique Vincent Trely. De l’industrie aux administrations, ce chiffre ne concerne pas uniquement les établissements médicaux, mais ceux-ci sont une cible privilégiée. Outre les nombreux exemples de structures américaines frappées depuis 2015, en France « le virus Locky a touché 800 hôpitaux en 2016 [sur les 1300 recensés par l’Insee]. C’était allé de quelques postes bloqués à des pans entiers d’un réseau », poursuit le spécialiste.

Quels risques entraînent ces piratages ?

Pour les patients, de tels piratages ont pour conséquence la très désagréable idée de voir ses pathologies dévoilées publiquement sur la Toile, ou potentiellement vendues sans leur accord. Une mésaventure qu’a connue en 2015 le laboratoire de biologie médicale Labio : le groupe de pirates Rex Mundi avait publié des bilans médicaux incluant l’identité des patients.

Mais les risques peuvent aller au-delà, jusqu’à menacer la santé des malades, selon Vincent Trely. « Si on rend inopérant un système d’information d’hôpital, celui-ci ne fonctionne plus du tout normalement. Les personnels sont stressés, les matériels ne marchent plus, les commandes de médicaments sont ralenties, les accès aux dossiers sont plus compliqués… Cela engendre forcément une perte de chance pour les patients », prévient-il, réfutant néanmoins tout alarmisme.

Directeur du développement de l’entreprise de cybersécurité Trendmicro, Loïc Guezo insiste sur le marché que représentent les équipements d’imagerie (radios, IRM…) et d’analyse (hématologie…). « Ces machines sont de plus en plus numérisées, mais elles sont instables d’un point de vue informatique donc difficiles à sécuriser [sans entraîner de bug]. Les fournisseurs interdisent d’ailleurs d’installer des systèmes de protection, sous peine de perdre la garantie. »

Quels moyens pour protéger ces données ?

Depuis quelques mois, les pouvoirs publics et acteurs de la santé ont pris conscience de l’importance de sécuriser les systèmes informatiques et protéger les données. « La sensibilisation est de plus en plus forte pour les hôpitaux dont la production de données est devenue le cœur de métier, juge Loïc Guézo. Il y a également une pression très forte du ministère de la Santé. » Depuis juillet 2017, ce dernier a ainsi ajouté à son Portail de signalement des événements sanitaires indésirables un onglet pour signaler un « Incident de sécurité des systèmes d’information », signalement devenu obligatoire le 1er octobre. Auparavant, la loi Touraine de janvier 2016 avait soumis les hébergeurs sous-traitants de données médicales à fournir des garanties de sécurité pour obtenir l’agrément, pour trois ans, du ministère.

Mais les hôpitaux qui hébergent eux-mêmes leurs données de santé ne sont pour l’instant pas soumis à cette obligation. La certification concerne, selon Vincent Trely, à peine 10% des données. « La prochaine étape sera sans doute la certification généralisée. Peu d’hôpitaux auront les moyens de sécuriser leur propre hébergement. Nous sommes donc en train d’assister à l’externalisation des données de santé des citoyens français dans le privé. »

Pierre Rateau

[/vc_column_text][/vc_column][/vc_row]