Les cybercriminels s’intéressent à vos mots de passe, aux informations présentes sur votre carte bancaire, mais aussi, de manière plus étonnante, à votre carte vitale –les données de santé intéressent même parfois plus que les données bancaires.
Chaque jour, en moyenne quatre hôpitaux français subissent une attaque informatique, selon le site spécialisé TICsanté. Aux États-Unis, on dénombrait quotidiennement 32.000 de ces attaques.
Toutes les informations concernant la santé peuvent être intéressantes: le nombre d’hospitalisations, un traitement prescrit, les pathologies des malades. Et c'est d'autant plus vrai si le hacking se fait à grande échelle, quand les données récupérées concernent l'ensemble de la patientèle d’un hôpital, sur plusieurs années.
Comptes rendus, prescriptions, nombre de passages, tout est enregistré et chaque renseignement est précieux.
Du logiciel de prise de rendez-vous au dosage de rayons pendant une radiothérapie, en passant par le robot qui permet aux médecins d’opérer, l’informatique est aujourd’hui omniprésente à l’hôpital. Les établissements de santé génèrent des milliers de données à caractère médical tous les jours.
«Comptes rendus, prescriptions, nombre de passages, tout est enregistré et chaque renseignement est précieux. [Ces données] se revendent entre 30 et 200 bitcoins, donc en tout entre 30.000 et un millions d’euros», explique Vincent Trély, président de l’Association pour la sécurité des systèmes d’information santé (Apssis).
Mais une fois capturées, que deviennent ces dossiers? «On peut tout imaginer pour se faire de l’argent. Faire du chantage, revendre les données, soit sur le dark web, soit directement, de la main à la main», précise Philippe Loudenot, fonctionnaire des systèmes de sécurité et de l’information (FSSI) au ministère des Solidarités et de la Santé.
Dans le viseur des assurances, labos et pays ennemis
Si la data de santé est si convoitée et si elle vaut si cher, c’est parce qu’elle fait désormais partie de la stratégie de beaucoup d’acteurs dans le monde. «Ce n’est pas votre dossier à vous qui intéresse, sauf si vous vous appelez Emmanuel Macron. Mais ces bases de données permettent de nourrir des algorithmes», précise VincentTrély.
«Qui s’intéresse à ça? Les gouvernements ennemis, dans le cadre de l’espionnage, pour connaître la situation sanitaire d’un pays. Mais aussi les multinationales dans le milieu de l’assurance ou la pharmacie, qui exploitent ces données pour leur propre politique de développement. Si je suis à la tête d’un laboratoire pharmaceutique et que j’apprends que dans une région de France, le médicament que je vends n’est pas utilisé mais celui de mon concurrent si, ça peut m’aider à adapter ma stratégie.»
Il faut, en urgence, se mettre au chevet de la sécurité informatique des hôpitaux, de leurs systèmes, machines et personnels. | Luis Melendez via Unsplash
À côté des grands industriels de la santé, les petites structures peuvent aussi s’intéresser à ce type de denrées. «Chez les start-ups aussi, l’innovation est source de business. Et le business de la data santé, c’est la première qui est hackée au niveau mondial pour être valorisée», souligne Cyrille Politi, conseiller en transition numérique à la Fédération hospitalière de France (FHF).
Les hackers redoublent parfois de ruse et d’imagination pour se faire de l’argent. Une méthode consiste à s’introduire dans le système informatique d’un service hospitalier pour voler le planning de rendez-vous. «Ils commencent par annuler tous les rendez-vous et communiquent un numéro surtaxé au patient, pour l'obliger à reprendre un rendez-vous», détaille Vincent Trély. Les malades n’ont alors pas d’autre choix que de composer un numéro commençant par 0800.
Les cybercriminels optent pour des attaques peu coûteuses, mais avec un bon retour sur investissement.
D'autres cybercriminels préfèrent tout simplement bloquer les systèmes informatiques avec des logiciels de rançon. Concrètement, tout s’arrête dans l’hôpital, jusqu’à ce qu’une rançon soit payée –une situation cauchemardesque qu’a connu le Royaume-Uni en 2017, lorsque seize hôpitaux ont été paralysés par le cryptovirus WannaCry.
Cette technique du ransomware touche aussi régulièrement la France, où elle constitue le risque le plus important de hacking lié à la santé. En 2016, pas moins de 900 hôpitaux avaient été la cible du virus Locky, explique Vincent Trély.
«Le ransomware correspond vraiment à l’état d’esprit des cybercriminels d’aujourd’hui. Ils optent pour des attaques peu coûteuses, mais avec un bon retour sur investissement», précise Yassir Kazar, dirigeant de Yogosha, une entreprise chargée de trouver les failles de cybersécurité de sa clientèle. Avec WannaCry, le Service national de santé britannique avait perdu près de cent millions de livres [environ 114 millions d’euros].
Mais les cybercriminels ne s’intéressent pas qu’à l’argent et à la vente de données de santé: certains visent également la sécurité corporelle même des malades.
Outre les ordinateurs présents dans l’hôpital, beaucoup d’autres appareils peuvent être attaqués. Machine d’IRM, de scanner, pompes à morphine ou à insuline, les services hospitaliers regorgent de dispositifs médicaux connectés. Vincent Trély n’hésite pas à mettre les pieds dans le plat: «Dans la catégorie des trucs qui font peur, il ne faut pas oublier qu’il est possible de faire cramer un pacemaker à distance. À côté, le vol de données semble bien gentil.»
Une simple ligne de code pour tuer à distance
Plusieurs actions sont possibles sur un appareil: le rendre indisponible, modifier les données qu’il contient ou l’utiliser en se faisant passer pour quelqu’un d’autre. «Les cybercriminels peuvent bloquer un dispositif médical, par exemple empêcher un appareil de prendre le pouls d’un malade. Ils peuvent aussi modifier les données de certaines machines, comme afficher une température à 37°C alors que la personne a 40°C de fièvre, et la tuer. Ils peuvent aussi entrer dans certains systèmes en s’authentifiant en tant que médecin», énumère Yassir Kazar, spécialiste des failles de ces appareils.
Cet été encore, des chercheurs américains démontraient la vulnérabilité des pacemakers de Medtronic, le géant des dispositifs médicaux, lors de la Black Hat Security Conference de Las Vegas. Une fois installé, le hacker peut à sa guise augmenter ou réduire le nombre de chocs dans le corps de la personne visée.
Bloquer un hôpital, c’est condamner tous les gens en urgence médicale ou en réanimation. Dans un scénario de guerre, c’est dramatique.
Une infinité de scénarios catastrophes est possible. «Avec la santé, on touche à tout le monde. Quand on bloque un hôpital, les conséquences peuvent être graves. Bien plus que lorsqu’on bloque une gare par exemple, où les gens sont simplement immobilisés», commente Emmanuel Gras, patron de l'entreprise de cyberdéfense Alsid et ancien membre de l’Agence nationale de la sécurité des systèmes d'information (ANSSI). Dans les hôpitaux, une seule attaque peut causer des dégâts humains considérables.
«Bloquer un hôpital, c’est condamner tous les gens en urgence médicale ou en réanimation. Dans un scénario de guerre, c’est dramatique», alerte Yassir Kazar. C’est pourquoi les urgences et le Samu sont les services dont la sécurité informatique est la plus aboutie de l’hôpital. «Un Samu qui ne répond plus, c’est gravissime. Donc tout est fait pour que ce service public continue de fonctionner», note Vincent Trély.
Une nécessaire éducation du personnel médical
Pour expliquer ces failles, la question de l’argent arrive souvent en première ligne: les hôpitaux manquent de moyens et ne disposent pas des équipements nécessaires. «Certaines structures hospitalières sont encore sous Windows XP. Ces infrastructures sont très obsolètes. Le premier hacker venu peut les casser. D’autant que certaines d’entres elles sont classées “opérateur d’importance vitale” [OIV]: une atteinte à leur fonctionnement revient à une atteinte à la sécurité de la nation. Je pense notamment aux hôpitaux militaires ou ceux réquisitionnés pour les attentats ou les attaques nucléaires», prévient Loïc Guezo, animateur du groupe de travail du Panorama de la cybersécurité au Clusif, le Club de la sécurité de l’information français. Souvent, il est également impossible pour les hôpitaux d’embaucher un ou une responsable de la sécurité des services d’information (RSSI), toujours pour des raisons de budget.
Face à ces problématiques, la marge de manœuvre des médecins est limitée. En cas de situation de vie ou de mort –ce qui arrive chaque jour–, impossible de perdre du temps à cause de la sécurité du matériel. «L’hôpital est un milieu dans lequel l’informatique ne doit pas être un frein. Ce n’est pas possible d’y imposer des mots de passe avec douze caractères qui changent tous les trois mois», explique Emmanuel Gras.
Quelques gestes simples gagneraient toutefois à être adoptés. «Il va falloir mieux former le personnel hospitalier, leur apprendre des choses simples, comme ne pas ouvrir un mail qui leur semble suspect. Ça relève de l’hygiène d’usage», insiste Cyrille Politi de la FHF. Le spécialiste évoque les mauvaises habitudes des médecins, «qui s’envoient des imageries médicales par WhatsApp et des comptes rendus d’hospitalisation par mail».
Même avec le meilleur des RSSI et des ordinateurs flambant neufs, les hôpitaux et les données de santé qu’ils hébergent ne seront jamais totalement protégés. «Un système sûr à 100%, ça n’existe pas, ou alors c’est une simple pierre connectée à rien», sourit Yassir Kazar.
Peut-être faudra-t-il même s’habituer à ce risque: aux États-Unis, 176 millions de personnes ont déjà été victimes du vol de leur dossier médical, selon une étude du Journal of the American Medical Association publiée en septembre 2018.
