La santé : secteur privilégié des mercenaires du clavier ?

Nous voilà donc repartis sur les chapeaux de roue en 2018 ! 

Lundi 15 janvier, le quotidien n° 1 en Norvège, Verdens Gang, plus connu sous l’abréviation VG, annonçait une cyberattaque de grande envergure qui aurait potentiellement permis l’exfiltration des données de santé d’un territoire de 2,9 millions d’habitants [3].
Nous noterons dans cette histoire l’avance des Norvégiens dans la conscience du risque numérique, et en particulier en matière de santé, puisque ce pays dont la démographie est dix fois inférieure à celle de la France dispose d’un Cert [4] dédié au secteur de la santé !
C’est ce fameux HelseCert qui est à l’origine de la découverte. Lundi 8 janvier, il alerte les autorités sanitaires du sud-est de la Norvège d’une intrusion, aujourd’hui sous contrôle, dans leur système d’information. L’enquête, en cours, permettra peut-être de déterminer si des données de santé ont effectivement été exfiltrées. Mais l’importance du flux de données qui a éveillé les soupçons du Cert laisse supposer une fuite considérable.
Selon Kjetil Nilsen, l’homologue de Guillaume Poupard [5] en Norvège, les raisons de vouloir récupérer des données de santé sont nombreuses. Pour lui, cette attaque n’est pas celle d’un amateur. Nyvoll Nygaard, conseiller du service de sécurité de la police norvégienne, a même déclaré qu’il serait envisageable que cette attaque sur les données de plus de la moitié de la population norvégienne ait été réalisée par un État, dans le but de collecter des informations susceptibles de nuire aux intérêts de la nation.

Mardi 16 janvier, le portail d’information letton LSM annonçait qu’une enquête avait été ouverte à la suite d’une importante attaque par déni de service (DDoS) [6], ciblant le nouveau service national de délivrance et de saisie des prescriptions dématérialisées mis en place au 1^er janvier en Lettonie [7].
L’importante vague de requêtes en provenance d’une vingtaine de pays a rendu le service inaccessible pendant plusieurs heures, obligeant les professionnels de santé à ressortir papiers et stylos des tiroirs.

Une fois de plus, on peut se demander si notre confiance aveugle dans le numérique et notre volonté de tout informatiser au plus vite ne nous poussent pas à commettre de graves erreurs, parfois lourdes de conséquences. Prendre en compte la sécurité des données de santé, c’est prendre en compte la sécurité des patients.

[1] Quelques exemples d’incidents marquants de 2017 :

/article/2672/les-dossiers-medicaux-de-150-000-patients-americains-en-acces-libre-sur-le-cloud-d-amazon.html

/article/2578/evaporation-de-donnees-de-sante-le-systeme-de-sante-australien-infiltre.html

/article/2596/allo-docteur-je-voudrais-mettre-a-jour-mon-pacemaker.html

/article/2670/les-donnees-de-nos-sih-auraient-finalement-un-prix.html

/article/2704/nouveau-coup-dur-pour-les-hopitaux-anglais.html

[2] https://info.vectra.ai/hubfs/Attacker-Behavior-Report-Infographic.pdf

[3] https://www.vg.no/nyheter/innenriks/i/8wBO0G/kan-ikke-utelukke-at-pasientjournaler-er-pa-avveie

[4] https://fr.wikipedia.org/wiki/Computer_emergency_response_team

[5] https://www.ssi.gouv.fr/agence/organisation/la-direction-generale/

[6] https://fr.wikipedia.org/wiki/Attaque_par_d%C3%A9ni_de_service

[7] https://eng.lsm.lv/article/society/health/ddos-attack-hits-latvias-national-e-health-system.a264478/