Paris, le samedi 16 mai 2015 – Depuis le début de l’année, plusieurs spécialistes des nouvelles technologies mettent en garde contre une tendance grandissante de la cybercriminalité : les données de santé sont en passe de devenir la cible privilégiée des hackers en tous genres. En janvier déjà, Art Coviello, président de RSA Security affirmait : « En 2015 (…) les cybercriminels bien organisés se tourneront de plus en plus vers le vol d’un autre type de données (…) : les informations personnelles détenues par les prestataires de services de santé ». Aujourd’hui, Christophe Auberger, responsable technique France au sein de Fortinet (leader mondial en sécurité informatique) se fait l’écho de ces prédictions sur le site ITR News. Il signale par exemple : « Les cybercriminels ont (…) conçu des plateformes entières de logiciels malveillants qui peuvent être personnalisées pour attaquer les acteurs de santé ».
Cauchemar de l’interactivité
Un tel appétit s’explique facilement par l’appât du gain. Ces données de santé sont « très lucratives à monétiser dans l’économie du cyber crime » note ainsi Art Coviello, tandis que Christophe Auberger se montre plus explicite : « Aujourd’hui, sur le marché noir, les données de patients se monnayent jusqu’à 20fois plus cher que les données de cartes de paiement récupérées, par exemple, à l’issue d’un piratage visant un acteur de la grande distribution ». Il faut dire que ces données sont très riches en information. La "rémunération" provient de demande de "rançon" » ou de la revente des données saisies aux compagnies d’assurance voire aux laboratoires pharmaceutiques. Autre raison expliquant cette attirance des cybercriminels : les données de santé sont très faiblement protégées (alors que le secteur bancaire par exemple a considérablement renforcé sa sécurité informatique). Cette vulnérabilité s’explique non seulement par le manque de compétence dans ce domaine des responsables informatiques chargées de traiter ces données, mais aussi par la multiplicité des objets "connectés" susceptibles d’être le vecteur de telles informations. « Aujourd’hui, des moniteurs cardiaques aux pompes à perfusion, tous les équipements peuvent être connectés à un réseau et s’interfacer avec les dossiers électroniques de patient (…). Cette interactivité, est dans la perspective du patient, une bonne nouvelle. Mais au niveau sécurité, il s’agit plutôt d’un cauchemar » commente Christophe Auberger. A ces différents dispositifs, s’ajoute la pléthore d’applications et autres "objets" connectés dont la première vocation est précisément le recueil de données de santé. Enfin, l’entreprise des cybercriminels est favorisée par une relative impunité, liée à la lenteur de la réaction. « Les patients prennent bien plus de temps à se rendre compte du détournement de leurs informations de santé » note Christophe Auberger.
Un argument de vente un peu particulier
Ces commentateurs ne sont en rien des oiseaux de mauvais augures. A plusieurs reprises, cette vulnérabilité des données de santé a pu être constatée par le passé, tandis que des "expériences" avaient déjà révélé la possibilité de "hacker" un pacemaker ou une pompe à insuline ou la facilité de diffuser sur le net les dossiers patients des hôpitaux. Des mises en garde avaient même été lancées, notamment par les éditeurs de logiciels. Mais l’ampleur du risque ne semble pas avoir été parfaitement mesurée. Et aujourd’hui, les cyber attaques se multiplient, semblant dessiner 2015 comme l’année des données de santé dans le domaine du "hackage informatique" comme le programmait Art Coviello. Ainsi, aux Etats-Unis plusieurs sociétés d’assurance santé ont rapporté avoir été victimes de piratages informatiques depuis le début de l’année. En France, le laboratoire d’analyse Labio.fr a reçu en mars une menace très claire du groupe de hackers Rex Mundi : seul le versement de 20 000 euros lui permettrait d’échapper à la diffusion sur le net des données piratées de ses patients… Soulignons enfin que ces escroqueries ne sont pas toujours le fait de "criminels". Aux Etats-Unis actuellement, une entreprise américaine spécialisée dans la sécurité informatique est soupçonnée d’avoir hacké une entreprise, afin de lui proposer d’autant plus facilement ses services. Services refusés par ladite firme, qui s’est alors vue menacer de voir ses failles informatiques révélées au grand jour !
Aurélie Haroche
