Cyberattaques : quels risques pour les données de santé ?

Les données de santé : un précieux trésor pour les cyberattaquants

Les données de santé comprennent des informations essentielles, qui intéressent les administrations de santé nationales et internationales, comme les laboratoires, chercheurs, et professionnels de santé impliqués dans l'analyse et la gestion des maladies. Synthétisées et anonymisées, ces données sont utiles au progrès de la science. 

Mais, elles intéressent aussi les pirates informatiques qui peuvent : 

• les “prendre en otage” (lors d’opérations de demandes de rançons, par exemple), 
• les détourner et les utiliser pour des opérations malveillantes, 
• les voler afin d'alimenter un marché occulte - qui attise la convoitise d'organisations malhonnêtes. 

Quels risques pèsent sur les données de santé ?

Les dangers concernant les données numériques de santé se situent à plusieurs niveaux.

Une attaque peut d’abord empêcher la structure de soins ou le professionnel de santé libéral de travailler : les données des patients deviennent chiffrées ou sont complètement effacées. Cela entraîne un blocage – parfois durant plusieurs semaines – des outils de travail essentiels : dossiers historiques de maladies et traitements, imagerie médicale, plannings, transmissions CPAM, etc. Cette interruption involontaire est souvent synonyme de pertes d’exploitation.

Une attaque peut aussi entraîner le vol de données non anonymisées, diffusées à mauvais escient : noms et coordonnées du patient, numéro de Sécurité sociale, maladies et traitements passés et en cours. Des données considérées comme hautement confidentielles et protégées par le secret médical. 

Ces informations sont, par ailleurs, protégées par la loi (notamment le RGPD, Règlement Général de Protection des Données Personnelles). La responsabilité civile de la structure de soins ou du professionnel de santé libéral vis-à-vis des patients est alors engagée : si les données sont compromises, le RGPD oblige à notifier les patients, mais également la Cnil.

Comment protéger efficacement les données de santé ?

De simples gestes-barrière permettent de repousser la grande majorité des tentatives de cyberattaques :

• Contrôler et surveiller l’accès à vos matériels fixes et mobiles ; 
• Gérer strictement l’usage de votre carte CPS ;
• Utiliser des mots de passe forts*, dédiés à chaque application, bien gardés au secret - voire utiliser une authentification à deux facteurs ; 
• Sauvegarder les données systématiquement et hors réseau ; 
• Utiliser une messagerie sécurisée pour transmettre des documents confidentiels ; 
• Connaître et respecter les contraintes du RGPD concernant les données de santé ; 
• S’informer et se former régulièrement aux risques numériques.

Dès que vous avez un doute sur l’authenticité ou la licéité d’un message, ne prenez pas de risque et demandez de l’aide à notre hotline 24/7. 

*Un mot de passe considéré comme “fort” comporte au moins douze caractères incluant des lettres minuscules et majuscules, des chiffres, des symboles comme &, _, ! etc. Et bien entendu, il ne doit servir qu’à un seul accès et ne pas être évident à deviner.

Pour en savoir plus :
guide pratique du CNIL et du Conseil de l'Ordre à l'attention des médecins
guide RGPD du CNIL et du Conseil de l'Ordre à l'attention des pharmaciens

Les termes à connaître sur les cyber risques

• Darkweb : pages Internet accessibles uniquement via des navigateurs spéciaux. Elles sont notamment le lieu d’activités illégales (vente de données, de drogues…). 
• Déni de service (DoS) : action (malveillante ou accidentelle) qui a pour résultat de bloquer ou de ralentir un système d’information. Si elle est lancée à partir de plusieurs machines, on parle alors de « Déni de service distribué » (DDoS). 
• Hameçonnage (ou « phishing » en anglais) : technique qui consiste, pour les pirates informatiques, à envoyer un mail aux couleurs d’un partenaire ou d’un prestataire de confiance, dans le but de dérober des informations. 
• Harponnage (ou « spear-phishing » en anglais) : une déclinaison de l’hameçonnage, qui s’appuie sur une connaissance de la cible et une personnalisation du message. 
• Homme du milieu (ou « man in the middle » en anglais) : technique à travers laquelle un pirate informatique intercepte les données échangées entre deux parties, à leur insu. 
• Ingénierie sociale (ou « social engineering » en anglais) : manipulation psychologique exercée dans le but d’obtenir la confiance de la victime et de lui soutirer des informations, de l’argent… 
• Logiciel malveillant (ou « malware » en anglais) : programme informatique destiné à nuire à un système informatique. Il peut prendre la forme par exemple d’un rançongiciel ou encore d’un botnet, qui utilisera votre machine et sa capacité  à votre insu pour faire partie d'un réseau pirate d'ordinateurs malveillants. 
• Pare-feu (ou « firewall » en anglais) : outil permettant de protéger les ordinateurs connectés à un réseau. Il protège d’attaques externes (filtrage entrant) et souvent de connexions illégitimes à destination de l’extérieur (filtrage sortant). 
• Rançongiciel (ou « ransomware » en anglais) : logiciel malveillant qui crypte les données de ses cibles, avant de demander le paiement d’une rançon pour le déblocage des informations retenues en otage. 
• Réseau de machines zombies (ou « botnet » en anglais) : ensemble de machines infectées par un logiciel malveillant et utilisées par les pirates informatiques, le plus souvent dans le cadre d’attaques DoS. 
• Shadow IT : logiciels installés sur des ordinateurs professionnels sans l’autorisation préalable de la DSI. 
• Test d’intrusion (ou « pentest » en anglais, pour « penetration test ») : attaque volontairement menée contre son propre réseau, afin d’en détecter les failles de sécurité. 
• Ver : logiciel malveillant qui se caractérise par sa capacité à se propager et s’exécuter en toute autonomie, sans programme hôte (tel qu’un fichier exécutable). 
• Virus : logiciel malveillant qui se diffuse à partir de programmes hôtes (tel qu’un fichier exécutable).