Décryptage

Les données liées à la santé : une sécurité très sensible

Posté le 15 février 2016
par Philippe RICHARD
dans Informatique et Numérique

La protection des données à caractère personnel représente un enjeu majeur pour les particuliers et les entreprises travaillant dans ce domaine.

Mais cette problématique complexe oblige tous les acteurs à renforcer la sécurité des infrastructures et des échanges d’informations. Car le principal enjeu est d’assurer la mise à disposition des données pour les professionnels de santé tout en garantissant la sécurité et la confidentialité.

Comme toutes les entreprises, les établissements hospitaliers et les laboratoires peuvent être en effet touchés par une attaque informatique. Et ces risques devraient être encore plus élevés dans les prochaines années avec la multiplication des objets connectés. Guillaume Poupard, Directeur Général de l’ANSSI (’Agence nationale de la sécurité des systèmes d’information), considère que les attaques sur le système de santé vont se multiplier et pourrait même engendrer des morts ! « Quand on voit la quantité d’informations récoltées, quand on voit l’action que tout cela peut avoir sur les patients, il y aura des morts demain », estime-t-il.  Il ne s’agira pas nécessairement d’assassinats ciblés, mais plutôt de dégâts collatéraux, dans la mesure où « ces appareils vont se faire polluer par des attaques qui ne leur étaient pas destinées ».

Lors de la conférence Ruxcon Breakpoint, à Melbourne fin 2012, Barnaby Jack, expert en solution de sécurité, avait expliqué qu’une faille dans la programmation des émetteurs sans fil pouvait être utilisée pour envoyer des instructions aux stimulateurs cardiaques (pacemakers) et aux défibrillateurs. Cette faille avait en effet permis à ce spécialiste d’obtenir le numéro de série et le modèle du dispositif, lui permettant ainsi de reconfigurer le firmware de l’émetteur. De quoi inquiéter les quelque 400 000 français porteurs de stimulateurs cardiaques. Un chiffre en progression constante depuis 20 ans. 60 000 patients se font poser chaque année ces appareils

Cette situation délétère a été rappelée lors de la 39ème conférence organisée par le CyberCercle en février. Cette édition a réuni Gérard Bapt, Député de Haute-Garonne  et Pierre Morange, Député des Yvelines, tous les deux membres de la Commission des affaires sociales, et Philippe Loudenot, FSSI (fonctionnaire de sécurité des systèmes d’information) des Affaires Sociale, de la Santé et des Droits des femmes. Selon Philippe Loudenot, les enjeux du monde la santé peut être classés en trois catégories : les attributions des remboursements avec les enjeux des fraudes, les organismes des prestations sociales qui donnent lieu à des fraudes en particulier du phishing avec l’envoi d’emails informant de problèmes sur des remboursements et enfin les d’attaques à buts destructeurs visant par exemple les établissements de santé comme ceux du sang.

Lors de cette conférence, Gérard Bapt a par exemple déclaré que des pannes informatiques avaient été à l’origine d’incidents graves entraînant même la fermeture d’établissements hospitaliers comme dans la région bordelaise. Toujours en France, en mars 2015, le laboratoire de biologie médicale Labio avait été victime d’un piratage de 40 000 identifiants et de centaines de bilans médicaux. Les pirates avaient exigé une rançon de 20 000 € pour que ces données ne se retrouvent pas sur Internet.

Il y a quelques années, des hôpitaux français et britanniques avaient été touchés par un code malveillant (virus Conficker). Quelques 8 000 ordinateurs avaient été infectés dans ces services hospitaliers.

Philippe Loudenot  a rappelé que « la sécurité n’est pas un problème de moyens mais de gouvernance, de compétences et d’appropriation ». De nombreuses failles proviennent d’un manque de formation et d’information du personnel, par exemple concernant la gestion des mots de passe (prêts de mots de passe, sessions restées ouvertes, post-it collés près de l’écran), ou du matériel (périphériques ou objets connectés non protégés, obsolescence des logiciels…). Or,  20% de mesures adéquates règlent 80% des problèmes…

Philippe Richard


Pour aller plus loin

Dans les ressources documentaires