Atlantico, c'est qui? c'est quoi ?
Dimanche 04 Décembre 2016 | Créer un compte | Connexion
Extra

Ce que les Chinois ont en tête en cherchant à voler des millions de dossiers médicaux occidentaux

La nouvelle tendance du monde de la cybercriminalité : le vol de données médicales. 4,5 millions de fichiers auraient ainsi été volés par des hackers chinois à un groupe hospitalier américain.

Chantage à la santé

Publié le
Ce que les Chinois ont en tête en cherchant à voler des millions de dossiers médicaux occidentaux

La santé est aujourd'hui impactée par la cybercriminalité  Crédit Reuters

Atlantico : Un groupe de hackers chinois a subtilisé 4,5 millions de données médicales au Community Health Centre (CHS), le deuxième réseau hospitalier américain. Quelles peuvent-être les motivations de ces hackers ? Que peuvent-ils bien faire de ces données personnelles ?

Jean-Paul Pinte : Nous ne sommes qu’au début d’une longue série d’épisodes cybercriminels dans le domaine de la santé et ce ne sont pas les applications E-santé comme les montres et les bracelets connectés qui pourront venir changer la donne. Cette fois-ci les hackers ont touché des données sensibles à chacun de nous, celles de la santé. Pas question ici de vol de numéros de cartes de crédit mais bien de données personnelles toutes aussi monnayables sur la toile aujourd’hui. Ce n’est pas non plus l’arrivée de l’Open Data ou libération des données par nos administrations croisées au phénomène du Big Data qui pourront arranger les choses.

La santé est aujourd’hui impactée par la cybercriminalité et ce secteur est appelé à devenir celui où les risques cybercriminels seront certainement les plus importants.

Pour ces hackers, il s’agit avant tout, comme dans toute cyber-attaque, de prendre le pouvoir sur un système, une structure tout en s’en réjouissant. Il est ensuite question de pouvoir procéder à la manipulation d'informations et donc aussi de de travailler à une désinformation. C’est aussi le moyen de pratiquer le chantage pour en obtenir en retour un avantage financier. Enfin et surtout aussi une façon de pouvoir nuire à la réputation de chacun d’entre nous. Imaginons un instant que nos très personnelles données de santé soient demain à la portée du grand public ou d'institutions. 

Quelles conséquences pour leurs propriétaires ? Et pour les hôpitaux ?

L’impact est loin d’être négligeable pour ces deux cibles.

Il en va avant tout de la réputation de ces derniers. Comme pour les propriétaires de données, les hôpitaux risquent de se voir salir leur image et voir naître la problématique de la fausse information véhiculée sur la toile. Elle  pourrait nuire gravement à la santé des patients par exemple.  Pour un particulier qui verrait divulguer des informations à son sujet cela pourrait par exemple lui poser problème dans le cadre de son emploi ou d’un recrutement à venir. Apprendre que l'on suit une thérapie pour une maladie grave... Le piratage des Dossiers médicaux personnels (DMP) qui peuvent aussi nuire à l’équilibre psychologique des patients.

Pour un hôpital, le simple fait de penser que son système d’information (SI) puisse être attaqué avec ses fichiers modifiés voire supprimés nous permet de réaliser l’impact sur les clients hospitalisés et aussi sur ceux passés par là et dans la nature aujourd’hui.

L’attaque du ver Conficker a paralysé plusieurs hôpitaux français. Son point d'entrée dans le réseau, les appareils de laboratoire et d'imagerie. "Aujourd'hui, les scanners et les IRM sont tous connectés", explique Philippe Loudenot, chargé de la sécurité informatique au ministère de la Santé.

Les problèmes liés à la confidentialité des données de santé : aux USA, 8 millions de dossiers médicaux ont été ainsi pris en otage contre une rançon. Il suffit d’imaginer que tout est, ou sera interconnecté dans les services hospitaliers pour mesurer le risque d’intrusion, d’interception de données, d’immobilisation, voire de pollution des données médicales via l’infection des SI.

Le département de la santé et des services sociaux des Etats-Unis indique dans son "Rapport annuel au Congrès sur les violations de données de santé mal protégées" que 14,7 millions de personnes ont été touchées par des violations de leurs données personnelles en 2011 et 2012. Pourquoi le vol de données médicales est-il en augmentation ? N'y a-t-il pas plus rentable ?

Si le phénomène est en hausse c’est que les données de santé nous sont plus que précieuses et sont indispensables à notre équilibre vital ! Elles sont en effet le seuls moyen de traçabilité, d'entretien et de suivi de notre santé. L’accès à des données sensibles touchant à la vie privée soulève aussi les questions importantes des garanties apportées à chacun de protection de sa propre intimité.

C’est aussi parce que l’identité de chacun est devenue l’une des marchandises les plus précieuses que les hackers  s’y attaquent plus aujourd'hui. Quiconque se verrait attaquer à ce niveau serait prêt à payer le prix pour se voir supprimer des données diffusées sur la toile le concernant. C’est aussi parce que les hôpitaux n’ont pas mesuré dès le début que leurs données étaient parfois vulnérables et allaient bien au-delà du simple réseau sécurisé d’Intranet ou d’Extranet que le vol de données a profité aux pirates. Le BYOD et le Cloud Computing sont venus aussi depuis ce temps se rajouter aux risques de fuite de données.

Le département de la santé et des services sociaux des Etats-Unis indique dans son "Rapport annuel au Congrès sur les violations de données de santé mal protégées" que 14,7 millions de personnes ont été touchées par des violations de leurs données personnelles en 2011 et 2012.

Selon le Ponemon Institute, dans une étude sponsorisée par ID Experts, 94 % des établissements interrogés auraient rencontré au moins une fois le problème. Et 45% y auraient eu affaire plus de cinq fois dans les deux dernières années. L'un des problèmes, en plus de la sécurisation des données, est le coût : l'étude estime que cela pourrait coûter 7 milliards de dollars par an aux organisations. L'une des causes est que certains appareils qui contiennent des données ne sont pas sécurisés, comme les pompes à insuline (69% des institutions ne le feraient pas). Selon le rapport, le cloud et le mobile, qui font que de plus en plus de données sont hébergées sur de plus en plus de supports, pas forcément sécurisés, pourrait augmenter les risques.

Jennifer Leuer, directrice générale de ProtectMyID chez Experian, un service chargé de protéger les données d'identification dans le domaine de la santé signale que "Le secteur de la santé est beaucoup plus fragmenté que tout autre secteur. Il peut potentiellement faire appel à des dizaines de fournisseurs ou d'intervenants". Selon elle, c’est cette disparité qui favorise les incidents. Çela a été le cas du fournisseur de services de santé Health Net qui a découvert que les données personnelles et les dossiers de 1,9 million de ses clients avaient disparu de ses serveurs. La mutuelle conservait sur ses disques les noms, adresses, numéros de sécurité sociale, informations financières et données sur la santé des anciens adhérents et des adhérents actuels de Health Net, plus celles d'employés et de professionnels de soins de santé.

 
Commentaires

Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.

  • Par yeneralobregone - 31/08/2014 - 15:23 - Signaler un abus un nouvel avatar du péril jaune ?

    qu'est ce que les chinois peuvent bien avoir à faire du diabètes des américains goinfrés de hamburger et de mal bouffe ? copier des médicaments sans autorisations peut-etre ?

Pour commenter :

Depuis son lancement Atlantico avait fait le choix de laisser ouvert à tous la possibilité de commenter ses articles avec un système de modération a posteriori. Sous couvert d'anonymat, une minorité d'internautes a trop souvent détourné l’esprit constructif et respectueux de cet espace d’échanges. Suite aux nombreuses remarques de nos lecteurs, nous avons décidé de réserver les commentaires à notre communauté d’abonnés.

Jean-Paul Pinte

Jean-Paul Pinte est docteur en information scientifique et technique.

Maître de conférences à l'Université Catholique de Lille, il est expert en cybercriminalité.

Voir la bio en entier

Je m'abonne
à partir de 4,90€