Chronique d’une santé connectée

Chronique d’une santé connectée

Cyber crime, santé et big data : pirates aujourd’hui, corsaires ou flibustiers demain ?

Dani Latorre/Flickr

Le banditisme sur le dark web attaque les entreprises sans épargner le secteur de la santé : établissements publics et privés de santé, organismes de paiement, toutes les organisations gérant des données de santé sont les cibles privilégiées des cyberattaques. Ces pirates pillent les ressources du big data et sont parfois recrutés tels des flibustiers. Les groupes criminels recherchent et vendent les vulnérabilités informatiques des sites Internet (Facebook dernièrement). Inversement, l’activité de corsaires du web peut dégénérer en piraterie quand ils vendent eux-mêmes des données sensibles. Ce chantage informatique frappe les hôpitaux dans le monde entier : les patients et établissements de santé sont véritablement pris en otages, la rançon : des milliers de bitcoins (millions d’euros).

La question n’est pas de savoir si l’attaque aura lieu mais quand elle interviendra et de s’y préparer. Quels sont les risques de telles attaques et quelles leçons en tirer ? Quels sont les enjeux pour les équipes de soin et les patients avec l’avènement de l’open data en santé et la création du Dossier Médical Personnel nouvelle version (DMP 2) ?

Vous découvrirez comment le dark web, qui s’affranchit par définition de toute loi, menace la santé individuelle et collective et quelles sont les initiatives législatives et du secteur privé pour ne plus être le maillon faible.

Des hôpitaux victimes de chantage informatique

Le 5 février 2016, c’est le Hollywood Presbyterian Medical Center qui a été pris en otage contre une rançon de 3.2 millions d’euros ; suivi le 25 février par l’hôpital de York (Maine, USA) qui a révélé avoir été victime d’une cyber attaque ayant compromis les données personnelles de ses 1 400 employés à travers ses quatre sites. La faille ciblait des médecins, des infirmiers et d’autres professionnels de santé ayant travaillé dans l’établissement en 2015. Dans sa déclaration aux médias, l’hôpital a indiqué travailler avec le FBI pour identifier les individus à l’origine de ce crime, il a aussi engagé un conseiller juridique afin de protéger l’organisation et met en place des procédures à différents niveaux : IT, RH et management.

Aux États-Unis, le Procureur général de Californie a publié un rapport alarmant sur les brèches de sécurité informatique de 2012 à 2015 :

  • 657 failles ont été rapportées pour 49 millions de données (131 brèches en 2012 pour 2.6 millions de données) ;

  • 16 % de ces brèches concernent le secteur de la santé pour lesquelles la vulnérabilité est principalement physique avec une progression du malware et du piratage ;

  • Dans 19 % des cas, les dossiers médicaux étaient ciblés soit 18 millions de dossiers compromis.

Une telle transparence n’est pas de mise en France où 68 % des entreprises ont pourtant été victimes de fraudes informatiques au cours des 24 derniers mois ce qui fait de notre pays l’un des plus touchés par la cybercriminallité (PwC, Global Economic Crime Survey, 2016). En 2015, le laboratoire d’analyses LABIO avait refusé de payer la rançon demandée par le groupe Rex Mundi qui avait diffusé les données séquestrées sur le dark web.

Nos mille hôpitaux français comptent à peine 50 responsables de la sécurité des systèmes d’information : est-ce acceptable ? Plusieurs établissements de santé ont été ciblés, mais c’est la loi du silence qui règne encore sur le racket des données médicales qui est un sujet tabou. Pourtant, l’explosion du big data dans tous les domaines en particulier celui de la santé avec l’e-santé, la télémédecine, les milliers d’apps de suivi médical ou de bien-être augmentent l’exposition au risque de cyberattaque des établissements de santé, des patients, des entreprises et de leurs clients.

Un enjeu stratégique pour les équipes de soin et les patients. Les enjeux de telles attaques sont particulièrement critiques dans le domaine de la santé en raison du caractère stratégique des informations auxquelles les soignants ont accès. La loi de modernisation de notre système de santé adoptée le 26 janvier 2016 consacre plusieurs dispositions relatives aux données de santé (Loi n°2016-41, JORF n°0022 du 27 janvier 2016, texte 1, NOR : AFSX1418355L).

L’extension du champ du secret professionnel ne semble pas intégrer le retard des établissements de santé en termes de sécurité. En institutionnalisant le partage des informations du patient par le DMP 2, la loi déroge au secret professionnel et l’étend à tous les services participant à des missions précises telles que l’aide médicale urgente, la permanence des soins, les transports sanitaires ou la télémédecine, mais aussi d’autres services de santé tels que les réseaux, les centres, les maisons et les pôles de santé ainsi que les installations autorisées à pratiquer les interventions de chirurgie esthétique.

Quant aux établissements et services social et médico-social, le renvoi au I de l’article L. 312-1 du Code de l’Action Sociale et des Familles permet de couvrir un large panel de structures en charge de l’enfance, des personnes handicapées et âgées. D’autre part, cette loi crée un accès ouvert et sécurisé aux données de santé dans l’intérêt de la collectivité (open data). Ceci implique de regrouper dans une seule et unique base de données les informations relatives à la santé de 66 millions de Français issues des établissements de santé publics et privés, des organismes d’assurance maladie (fichier SNIIRAM) ou de la Caisse nationale de solidarité pour l’autonomie des personnes handicapées (art. L 1461-1-I du Code de la Santé Publique). On prend ainsi mieux la mesure du tsunami qui guette les patients.

Apprendre des erreurs des autres

Confucius aurait dit : « L’homme sage apprend de ses erreurs, l’homme plus sage apprend des erreurs des autres ». Ici, le problème est à la fois humain et technique. La principale faille est le personnel qui manque de vigilance, n’utilise pas de mot de passe ou le sauvegarde automatiquement, oublie de verrouiller sa session et laisse ainsi grand ouvert l’accès au SI, ou encore utilise en croyant bien faire des interfaces de navigation personnelles sur son lieu de travail (BYOD, smartphone et tablette), etc.

L’établissement de soins est également responsable : quel est aujourd’hui le niveau de formation informatique de son personnel ? Est-elle actualisée ? Quelles sont les actions de sensibilisation aux enjeux et risques de la cybersécurité en milieu sanitaire et social ? Faut-il aller jusqu’à simuler une attaque pour les immerger en situation de crise et tester leurs actions en réaction ?

La magnitude et la fréquence des failles de sécurité de données de santé peuvent être choquantes, mais les racines du problème ne sont pas une surprise : dans 90 % des cas, les hackers ont utilisé des vulnérabilités identifiées en interne (gestion des patch, firewalls, malware, antivirus) mais non traitées malgré la gravité des conséquences de ces potentielles failles. En plus, d’audits par des tiers de confiance, l’apprentissage peut se faire via d’autres secteurs industriels stratégiques tels que la banque et l’aéronautique ; la culture start-up est aussi source d’inspiration quand il s’agit d’innover face à une situation inédite dans l’esprit d’agilité qui les caractérise.

Comment se préparer à répondre à une cyberattaque ?

Quand les outils de détection d’intrusion n’ont pas suffi, plusieurs options sont envisageables : négocier la rançon, le centre médical presbytérien d’Hollywood a finalement payé 40 bitcoins sur les 9 000 demandés ; mettre en place d’une stratégie de prévention et de réponse aux incidents informatiques est devenu nécessaire pour réduire la possibilité d’une brèche et l’atteinte à la réputation de la marque de l’entreprise avec les éléments suivants :

  • action immédiate pour arrêter ou réduire l’incident ;

  • recherche sur l’incident ;

  • restauration de ressources affectées ;

  • indication de l’incident sur les canaux corrects.

Or, à ce jour, plus de la moitié des entreprises françaises n’ont pas encore de plan opérationnel que ce soit de prévention ou de réaction aux attaques : il semble que nos cadres soient moins impliqués sur le sujet que leurs homologues au niveau européen ou mondial. La stratégie de protection doit identifier ce qui se passera pour l’établissement en cas de perte d’accès à ses données, à son réseau et à ses moyens de communication et comment y faire face. Ce risque est maintenant de plus en plus pris en compte par les dirigeants avec une demande croissante d’information spécifique de la part des conseils d’administration.

Les données de santé : un intérêt vital pour la sécurité des systèmes informatiques ?

Qu’en est-il des établissements de santé ? Quelles sont les stratégies de protection et de réaction aux cyberattaques ? Les patients seront-ils informés d’un piratage ? La Loi informatique et liberté (art.34 bis) impose au fournisseur de services de communications électroniques une obligation de notification des failles (dans un délai de 24 heures).

Des obligations de notification des failles de sécurité sont aussi prévues par le projet de règlement européen sur la protection des données personnelles et par la directive Network and Information Security (NIS) qui seront adoptés au printemps. La notification devra avoir lieu dans les 72 heures à l’autorité de contrôle des données et sans délai au sujet des données en cas d’atteinte potentielle à sa vie privée (projet de règlement européen art. 31 et 32) sous peine d’une amende pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires de la société (projet de règlement européen art. 79-3-a). Les autorités nationales de protection des données devront aussi publier un rapport sur les failles qui leur ont été notifiées (projet de règlement européen art.54).

L’Agence Nationale de la Sécurité des Systèmes d’Information a mis en place plusieurs actions et outils de sensibilisation des entreprises et du public et concentre son activité sur les intérêts vitaux du pays tels que les services de l’état, les infrastructures critiques et les entreprises stratégiques. Elle s’attelle tardivement au grand public et à la protection des PME qui sont les principaux acteurs de la santé mobile avec l’utilisation d’objets connectés, des réseaux sociaux et du commerce électronique.

L’agence de cybersécurité compte sur les opérateurs (Bouygues Telecom, Free, Orange et SFR) pour sécuriser les emails de leurs clients par le chiffrement. Elle mettra bientôt en place une plateforme de soutien aux victimes de cyberattaques (une offre d’emploi pour chef de projet a même été publiée).

Le pôle de compétitivité Aeropace Valley montre l’exemple (aéronautique, espace, systèmes embarqués) et vient de se positionner en guichet unique pour ses PME qui sont ensuite dirigées vers les experts en cybersécurité des services de l’État, en fonction de leurs besoins spécifiques. Cette initiative a le mérite de clarifier les actions à mener et mutualise les ressources disponibles.

Ryan Tir/Flickr, CC BY

Les infractions spécifiques aux technologies de l’information et de la communication sont notamment :
– Les atteintes aux Systèmes de Traitement Automatisé de Données sanctionnées par les articles L.323-1 et suivants du Code pénal ;
– Les atteintes aux droits de la personne liés aux fichiers ou traitement informatiques (art. 226-16 à 226-24 du Code pénal/Loi 78-17 du 6 janvier 1978 dite « informatique et liberté » modifiée par la loi 2004-801 du 6 aout 2004).
– Les infractions dont la commission est liée ou facilitée par l’utilisation des technologies de l’information et de la communication, parmi lesquelles :
• les atteintes aux mineurs (article 227-23 du Code pénal) ;
• les infractions à la loi sur la presse (loi du 29/07/1881) ;
• les atteintes aux personnes (menaces, usurpation d’identité…) ;
• les escroqueries (phishing, fausse loterie, utilisation frauduleuse de moyens de paiement…).
Si vous êtes victime d’infractions mentionnées ci-dessus, vous pouvez directement déposer plainte auprès d’un service de Police nationale ou de Gendarmerie nationale ou bien adresser un courrier au Procureur de la République près le Tribunal de Grande Instance compétent.