La semaine dernière Le Figaro a publié une analyse inquiétante sur les cyberattaques des données santé : des experts américains en cybersécurité ont tenu à alerter les services médicaux et compagnies d’assurance, indiquant que les cybercriminels étaient de plus en plus attirés par les informations qu’ils détenaient. 2015 sera sans conteste «l’année du piratage des données de santé» !
Des données monnayables
Que font les cybercriminels des données piratées ? Le Figaro a interviewé Vincent Trely, Président de l’Association pour la Promotion de la Sécurité de Systèmes d’Information de Santé (APSSIS), pour qui les hackers ont différentes motivations :
– L’espionnage industriel : les cybersdélinquants subtilisent les données relatives aux recherches ou avancées médicales des laboratoires pharmaceutiques,
– Le chantage : les pirates volent ou cryptent les dossiers médicaux des patients et négocient une rançon pour les restituer ou les décrypter,
– La vente d’informations sanitaires : les cybercriminels revendent les informations sanitaires des particuliers aux compagnies d’assurances complémentaires ou aux laboratoires pharmaceutiques, afin d’arranger leurs tarifs ou établir des statistiques pour ajuster leur marketing. «Beaucoup de diabétiques en Alsace ? On cible donc la vente d’insuline sur l’Alsace», imagine Vincent Trely.
Ouverture des Big Data santé en France
Le Figaro souligne qu’en France l’ambition de la Ministre de la Santé est d’aller dans le sens de «l’ouverture des données» : Marisol Touraine propose une centralisation des bases d’informations de santé existantes en un «grand système national des données de santé» (SNDS), décrit en 2013 dans le rapport sur la gouvernance et l’utilisation des données de santé . Ce dispositif rassemblerait les informations relatives aux prises en charge hospitalières, à la médecine de ville, aux causes de décès, ainsi que les données médico-sociales, afin de faciliter le travail des professionnels de la santé grâce à un hébergement unique.
«Cette unification apportera des risques supplémentaires car le terrain sera plus facile d’accès pour les hackers si tout est groupé au même endroit», estime Vincent Trely, en rappelant qu’en 2011 la mise en place du dossier médical personnel (DMP) – dossier numérisé regroupant les antécédents médicaux, résultats d’analyses ou encore traitements en cours des patients – avait déjà compliqué la tâche des experts en sécurité.
«Cependant, tempère Vincent Trely pour Le Figaro, depuis quelques années, l’État a pris conscience de l’importance des menaces et a lancé un certain nombre de mesures pour pousser les établissements à se protéger». C’est ainsi que la HAS a intégré dans ses critères d’homologation en 2013 la sécurité informatique des établissements de santé : ceux qui ne répondent pas à un certain niveau d’attentes n’obtiennent pas les subventions prévues à cet effet.
«Nos données de santé sont-elles assez protégées? Je ne sais pas», conclut Vincent Trely. «Ce dont je suis sûr, c’est que l’expansion des objets médicaux connectés représentera un risque supplémentaire dans le futur mais les initiatives emboîtées par le gouvernement vont dans le bon sens pour le moment».