Les données de santé face aux enjeux de cybersécurité <!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
Santé
Des ordinateurs touchés par une cyberattaque dans un hôpital.
Des ordinateurs touchés par une cyberattaque dans un hôpital.
©Philippe DESMAZES / AFP

Bonnes feuilles

Simon Woillet, Audrey Boulard et Eugène Favier-Baron publient « Le business de nos données médicales » chez FYP éditions. Traçage épidémiologique, dossier médical partagé, capteurs qui suivent nos rythmes biologiques en temps réel… Nous sommes désormais réduits à une suite de chiffres et de statistiques. Cette numérisation tous azimuts conduit à de multiples dérives : nos données de santé sont devenues un business juteux que s'arrachent une nébuleuse d'entreprises privées ou de cyberpirates. Extrait 2/2.

Audrey Boulard

Audrey Boulard

Diplômée de l’École normale supérieure de Lyon, Audrey Boulard est consultante en stratégie éditoriale.

Voir la bio »
Eugène Favier-Baron

Eugène Favier-Baron

Eugène Favier-Baron est doctorant en philosophie des médias et des techniques à l’université Grenoble-Alpes, ainsi qu’à l’université Libre de Bruxelles.

Voir la bio »
Simon Woillet

Simon Woillet

Professeur de philosophie, doctorant en littérature comparée, Simon Woillet est responsable de la rubrique idées du média LVSL et membre de l’Institut Rousseau.

Voir la bio »

Le premier problème majeur auquel sont confrontés les pouvoirs publics en matière de capacité à faire respecter leur loi sur le cyberespace, est le domaine des cyberattaques. L’actualité récente nous a montré l’explosion des rançongiciels visant des hôpitaux français durant la crise du Covid-19. L’engorgement des services liés aux pics épidémiques a renforcé l’attractivité de ces institutions pour les pirates, confortés dans leurs espoirs de rançon du fait de la pression accrue sur les unités de soin critiques. Deux problèmes majeurs se posent au niveau de la cybersécurité des infrastructures de santé. Le premier est celui de la sécurisation des infrastructures, serveurs, objets connectés, logiciels. Il relève de la compétence de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et des entreprises de cybersécurité, dans leur démarche d’accompagnement des institutions.

Les risques rencontrés dans ce cadre sont multiples et vont de la cyberattaque type rançongiciel, à la fuite de données organisée par un membre corrompu dans l’équipe de gestion des données, en passant par les méthodes de phishing toujours plus perfectionnées.

Les erreurs de maintenance des bases de données de santé centralisées

On peut citer à ce sujet de nombreux exemples de ce genre d’accidents et les implications dramatiques qu’ils peuvent avoir. Le premier est l’attaque en 2020 du groupe américain Fresenius spécialisé dans les équipements connectés dans le domaine des dialyses, qui a vu le cœur de son système informatique piraté et soumis à une rançon en bitcoins. On peut mentionner également l’attaque de Magellan Health en 2020, une entreprise du Fortune 500 Américain. Dynasplint Systems, entreprise d’équipements connectés pour la rééducation motrice, qui a connu une fuite de données concernant près de 103 000 dossiers individuels d’usagers avec leurs informations personnelles. NorthShore University health systems, qui comme son nom l’indique est au cœur du dispositif académique et médical des institutions de Chicago, a connu quant à lui une fuite de 340 000 dossiers de patients complets du fait d’une attaque.

L’un des plus gros vendeurs de bases de données médicales nord-américains Blackbaud, a connu une attaque conduisant à la fuite de près de 1,5 million de dossiers transmis par son client Innova Tech, 360 212 de la fondation Saint Luke , 300 000 de la MultiCare Foundation, 52 711 de Spectrum Health, 55 983 du NorthWestern Memorial HeatlhCare, 60 595 de Maine Line Health. Pfizer a connu une fuite de données sur des centaines de dossiers de patients atteints de maladies graves du fait d’une erreur de gestion sur un compte Google Cloud resté accessible au public pendant plusieurs semaines. La Dental Care Alliance a quant à elle connu une fuite sur près d’un million de dossiers concernant les informations les plus sensibles des patients telles que les traitements en cours, les noms des médecins, les identifiants d’assurance et de mutuelle, les numéros de compte en banque, leurs noms et adresses postales et informatiques. Enfin, les attaques subies par Merck en 2017 ont failli mettre à genoux la stabilité financière et l’intégrité des informations stratégiques, dont les données usagers, détenue par le géant pharmaceutique, brutalement lâché par ses assureurs sur cette affaire.

Ce dernier cas de figure pose le problème de la réaction des assureurs à de tels événements lorsqu’ils sont perpétrés par des attaquants supposément identifiés à des puissances étrangères. Le site de Bloomberg mettait ainsi en avant le nouveau risque induit par l’informatisation des données stratégiques des acteurs publics et privés de la recherche scientifique,  qui voient s’ajouter à la sanction logistique infligée par l’attaque numérique, la sanction économique du manque de soutien de certains assureurs prétextant une faille juridique dans les contrats qui les relient pour s’extraire du processus de dédommagement, en l’occurrence un motif de non-couverture des risques liés à des actes de cyberguerre associés à des Etats-nations.

De nombreux observateurs soulignent l’importance majeure des opérations d’ingénierie sociale telle que le phishing, reposant sur la naïveté des salariés des entreprises attaquées, mais relèvent également le nombre colossal des erreurs humaines, largement représentées dans les statistiques d’incidents, en dépit de l’augmentation manifeste des cyberattaques proprement dites. Le pire ennemi de la sécurité des données est très souvent interne à la structure, qu’il s’agisse d’une mauvaise mise en ligne sur un stockage cloud public, d’une transmission fautive par mail ou courrier postal à de mauvaises destinataires, ou d’une fuite organisée d’un prestataire ou d’un salarié corrompu. Au vu de la gravité des conséquences de ces fuites de données, on peut s’interroger sur la réponse politique à adopter face à ces pratiques, dont une part considérable relève autant de la mauvaise gestion des informations sensibles et des environnements de travail décentralisés par les personnels des entreprises, que de « cyber attaquants » externes. L’exemple le plus caricatural de ces défauts de maintenance des systèmes informatiques centralisés de santé est récemment offert par le scandale de la faille du SI-DEP, fichier de suivi des cas contacts, des pass sanitaires et des tests antigéniques du gouvernement français, accessible à tout internaute capable de modifier quelques éléments de code basiques. Il a été ainsi alimenté de façon irrégulière par l’entreprise non certifiée, France Test.

Les récentes cyberattaques critiques, affectant le fonctionnement des procédures de soin et des matériels techniques des hôpitaux comme ce fut le cas à Dax ont largement convaincu la puissance publique française de la nécessité d’une politique publique de protection des données et des infrastructures informatiques hospitalières contre la cybercriminalité. Cette prise de conscience tardive a donné lieu en France à l’annonce par Emmanuel Macron d’un plan global de près d’un milliard d’euros, dont 720 millions investis directement par la puissance publique. L’ANSSI doit recevoir un montant de près de 136 millions d’euros d’investissements dont 60 millions pour les collectivités locales, 265 millions pour les établissements de santé, et 30 millions pour les services interministériels. Deux campus universitaires rassemblant l’ensemble des acteurs publics, privés, militaires et civils du secteur seront ouverts à Rennes et à La Défense. Le gouvernement parie ici sur le renforcement de la coordination entre secteur public et privé et mise sur une multiplication par trois du chiffre d’affaires de la filière (de 7,5 milliards aujourd’hui à 25 milliards à l’horizon 2025). Difficile de dire à l’heure actuelle si les sommes engagées, en particulier dans le secteur de la santé, sauront compenser l’accroissement spectaculaire des attaques et des multiples défaillances humaines sur ce secteur plus que sensible pour la sécurité nationale.

Le problème de l’architecture du réseau

Le second problème est celui de l’architecture même du réseau : en dehors du seul niveau de protection logiciel et infrastructurel, le risque de fuite de données est plus ou moins accru en fonction dont la manière dont a été pensée en amont l’organisation du stockage de l’information. Le cas de l’application Stop Covid a été un exemple marquant des tensions — en dehors des critiques sur la pertinence des logiciels de tracking — qui existent au niveau européen sur la manière avec laquelle doivent être conçues la collecte et la gestion des flux de données de santé utilisateurs. L’architecture centralisée française (la récolte des données utilisateurs sur un serveur national) se voyait confrontée à l’architecture décentralisée (le protocole DP3T par exemple) soutenue par des technologies d’Apple et de Google, qui prétendait garder l’information utilisateur au niveau des téléphones individuels.

En dépit de la nécessaire prise de recul par rapport aux enjeux massifs cachés derrière cette polémique technique — la présence une fois de plus de technologies américaines au cœur des politiques publiques de santé européennes ainsi que le problème des risques politiques pesant sur les libertés publiques et la protection des données personnelles — l’importance prise par ce débat dans la sphère publique illustre bien que les enjeux de sécurité des données dépassent largement le simple cadre de la puissance ou de la modernité d’un logiciel ou d’une technologie. Une fois encore, comme l’énonce le juriste américain Lawrence Lessig, « code is law, and architecture is politics ». Les conséquences politiques des choix d’organisation de l’infrastructure numérique sont aussi importantes que la qualité et l’efficacité des services produits.

Un modèle centralisé ouvre la voie à des risques importants en termes de fuite de quantité considérables d’informations sensibles100 et il pose des problèmes en termes d’attractivité pour les cyberattaquants. Enfin, il pose des problèmes en termes de respect des libertés fondamentales des citoyens, en témoigne la polémique autour de l’application GendNotes qui prétendait pouvoir conférer un accès aux données de santé individuelles aux forces de l’ordre.

D’autre part, le risque d’une perte de souveraineté individuelle et nationale en matière de gestion, de suivi et de protection des données est manifeste, puisque l’objectif majeur des politiques numériques de centralisation des données personnelles des usagers de services publics est d’ouvrir ces flux considérables d’informations intimes à des « groupements d’intérêt public » — notion juridique régulièrement critiquée pour son flou notionnel — dont de nombreux acteurs du secteur de l’assurance font partie, afin « d’industrialiser », les processus de mise en circulation, d’accès et de traitement des données massives de manière à créer des champions européens du numérique, sur la base première de la e-santé.

Le loup dans la bergerie

Les utilisateurs de ces services ne seront jamais garantis d’une traçabilité continue de leurs données personnelles, ils ne sont pas explicitement consultés ni suffisamment informés de la collecte, puisque cette dernière repose sur le « consentement présumé », qui nous intéressera dans le chapitre qui suit. Or, dès qu’un prestataire tel qu’Amazon Web Services, Kubernetes, Anthos (filiale cloud interopérable de Google), ou Microsoft Azure Cloud intervient dans la boucle de gestion des données, toute forme de traitement (mise au format pour être traités par l’intelligence artificielle ou pour être interopérables entre plusieurs logiciels) entraîne un potentiel transfert de ces données aux maisons-mères et un potentiel accaparement juridique de ces données par les Big techs.

L’exemple de Doctolib dans la gestion des politiques vaccinales françaises est, en cette matière, caractéristique de ces logiques à tous les points de vue : d’une part, les problèmes de respect des normes juridiques européennes de protection des données des utilisateurs (en l’occurrence la presse allemande a révélé que Doctolib a vendu à Facebook les historiques de recherches de ces clients pour pouvoir accéder à ses services de publicité ciblée comme nous l’avons vu précédemment). D’autre part, le problème du désengagement de l’État dans l’investissement lourd, de long terme, dans les infrastructures au profit du mythe de la « start-up nation », et de l’individu innovateur (ViteMaDose), qui in fine est toujours adossé à une institution plus grande, publique ou privée, pour organiser le fonctionnement à grande échelle du service.

Enfin, les motifs cachés derrière les ambitions sanitaires de façade : à travers la privatisation numérique des flux de gestion de la politique vaccinale, nous assistons à une centralisation colossale des informations de santé des particuliers, qui a pour objectif implicite la création d’un géant international de l’e-santé à la française, au mépris des lois protégeant la vie privée des individus et au risque de subordonner les politiques publiques de santé aux impératifs économiques de grandes entreprises peu regardantes quant au respect des droits individuels. En dernière instance, le risque majeur d’une centralisation publique ou privée de l’information est la sujétion de principe aux produits des GAFAM type Platform as a Service (Paas), autrement dit, les solutions intégrées de stockage et traitement des données en vue de leur utilisation par le client (du serveur aux couches logicielles de gestion des serveurs en passant par les services de mise au format et de visualisation des données).

L’argument solutionniste avancé au moment de la loi Buzyn d’inauguration du Health Data Hub en 2019, répété par Stéphanie Combes jusqu’à la lie, et entériné par le plan Cloud souverain porté par Amélie de Montchalin et Bruno Le Maire, est toujours le même : « nous ne disposons pas d’un équivalent français aussi efficace que l’existant américain, il nous faut donc nous résoudre à commencer par nous faire la main avec ces outils en espérant que nous pourrons nous mettre à niveau dans X ans ».

Sans aucun égard pour le retard accumulé, le refus d’investir dans la souveraineté infrastructurelle, ni pour le signal politique violent envoyé aux acteurs nationaux et européens. Ni même encore pour la possibilité de faire respecter le droit français sur la protection des intérêts des citoyens en termes de protection des droits, et les intérêts des entreprises et des institutions en matière de sécurité stratégique, conformément aux préconisations du rapport Longuet. Face à ces comportements défaillants des autorités, de nombreuses voix du secteur commencent à se faire entendre et remettent en question les choix de l’exécutif actuel.

A lire aussi : Les données de santé, une manne et un enjeu central pour les GAFAM ?

Extrait du livre de Simon Woillet, Audrey Boulard et Eugène Favier-Baron, « Le business de nos données médicales, enquête sur un scandale d'Etat », publié chez FYP éditions.

Lien vers la boutique : cliquez ICI et ICI

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !