Publicité en cours de chargement...

Publicité en cours de chargement...

La santé : secteur privilégié des mercenaires du clavier ?

23 jan. 2018 - 10:00,
Tribune - Charles Blanc-Rolin
Cette nouvelle année semble, comme la précédente, bien commencer.Demandes de rançon, fuites de données, ventes de données, menaces pour la vie des patients, les exemples d’incidents ne manquent pas, en particulier outre-Atlantique, mais aussi en Europe [1].Selon le rapport de l’éditeur de solutions de sécurité Vectra, le secteur de la santé a été le plus attaqué au premier trimestre 2017 [2].

Nous voilà donc repartis sur les chapeaux de roue en 2018 ! 

Lundi 15 janvier, le quotidien n° 1 en Norvège, Verdens Gang, plus connu sous l’abréviation VG, annonçait une cyberattaque de grande envergure qui aurait potentiellement permis l’exfiltration des données de santé d’un territoire de 2,9 millions d’habitants [3].
Nous noterons dans cette histoire l’avance des Norvégiens dans la conscience du risque numérique, et en particulier en matière de santé, puisque ce pays dont la démographie est dix fois inférieure à celle de la France dispose d’un Cert [4] dédié au secteur de la santé !
C’est ce fameux HelseCert qui est à l’origine de la découverte. Lundi 8 janvier, il alerte les autorités sanitaires du sud-est de la Norvège d’une intrusion, aujourd’hui sous contrôle, dans leur système d’information. L’enquête, en cours, permettra peut-être de déterminer si des données de santé ont effectivement été exfiltrées. Mais l’importance du flux de données qui a éveillé les soupçons du Cert laisse supposer une fuite considérable.
Selon Kjetil Nilsen, l’homologue de Guillaume Poupard [5] en Norvège, les raisons de vouloir récupérer des données de santé sont nombreuses. Pour lui, cette attaque n’est pas celle d’un amateur. Nyvoll Nygaard, conseiller du service de sécurité de la police norvégienne, a même déclaré qu’il serait envisageable que cette attaque sur les données de plus de la moitié de la population norvégienne ait été réalisée par un État, dans le but de collecter des informations susceptibles de nuire aux intérêts de la nation.

Mardi 16 janvier, le portail d’information letton LSM annonçait qu’une enquête avait été ouverte à la suite d’une importante attaque par déni de service (DDoS) [6], ciblant le nouveau service national de délivrance et de saisie des prescriptions dématérialisées mis en place au 1er janvier en Lettonie [7].
L’importante vague de requêtes en provenance d’une vingtaine de pays a rendu le service inaccessible pendant plusieurs heures, obligeant les professionnels de santé à ressortir papiers et stylos des tiroirs.

Une fois de plus, on peut se demander si notre confiance aveugle dans le numérique et notre volonté de tout informatiser au plus vite ne nous poussent pas à commettre de graves erreurs, parfois lourdes de conséquences. Prendre en compte la sécurité des données de santé, c’est prendre en compte la sécurité des patients.

[1] Quelques exemples d’incidents marquants de 2017 :

/article/2672/les-dossiers-medicaux-de-150-000-patients-americains-en-acces-libre-sur-le-cloud-d-amazon.html

/article/2578/evaporation-de-donnees-de-sante-le-systeme-de-sante-australien-infiltre.html

/article/2596/allo-docteur-je-voudrais-mettre-a-jour-mon-pacemaker.html

/article/2670/les-donnees-de-nos-sih-auraient-finalement-un-prix.html

/article/2704/nouveau-coup-dur-pour-les-hopitaux-anglais.html

[2] https://info.vectra.ai/hubfs/Attacker-Behavior-Report-Infographic.pdf

[3] https://www.vg.no/nyheter/innenriks/i/8wBO0G/kan-ikke-utelukke-at-pasientjournaler-er-pa-avveie

[4] https://fr.wikipedia.org/wiki/Computer_emergency_response_team

[5] https://www.ssi.gouv.fr/agence/organisation/la-direction-generale/

[6] https://fr.wikipedia.org/wiki/Attaque_par_d%C3%A9ni_de_service

[7] https://eng.lsm.lv/article/society/health/ddos-attack-hits-latvias-national-e-health-system.a264478/

Avez-vous apprécié ce contenu ?

A lire également.

ethicovigilance-numerique-premiers-signaux-dalerte-dans-la-sante-connectee

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

contourner-les-regles-faille-cyber-eternelle-et-consubstantielle-a-lespece-humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

larnaque-a-larret-de-travail-comme-source-de-reflexion

L’arnaque à l’arrêt de travail comme source de réflexion

14 avril 2025 - 21:57,

Tribune

-
Cédric Cartau

Soupçonné d’avoir mis en place un site Web permettant d’acheter de « faux » arrêts de travail en quelques clics et pour 9 euros seulement, un jeune homme de 22 ans originaire des Landes est sous le coup d’une accusation et de poursuites diverses. Les faux arrêts de travail étaient générés automatiqu...

panorama-forcement-non-exhaustif-du-fleau-des-arnaques-en-ligne-en-ce-debut-2025

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

08 avril 2025 - 07:19,

Tribune

-
Cédric Cartau

Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.