Par Frédéric Mas.
Une trentaine de laboratoires de biologie médicale piratés, des informations confidentielles concernant près de 500 000 personnes dans la nature, le tout au nez et à la barbe de tous les organismes de contrôle dans le domaine, et malgré les budgets faramineux engagés pour protéger des données hypersensibles : c’est ce que rapporte le site d’information spécialiste en cybersécurité Zataz, confirmé par Libération et l’AFP. Ce sont des milliers de noms, de numéros de sécurité sociale, de coordonnées et d’informations sensibles qui ont fuité pour être vendus sur le darknet.
Après une dispute entre les hackers sur la meilleure manière de vendre le fichier, les données se sont retrouvées en accès libre sur internet.
Une faille de sécurité
Quelle est l’origine de la faille de sécurité ? Les experts s’interrogent, et pour l’instant le journal des prélèvements indique qu’ils ont été effectués à une période coincidant avec l’utilisation d’un logiciel de renseignement médico-administratifs édité par le groupe Dedalus. Rien ne permet d’affirmer que la défaillance provienne dudit logiciel. Le directeur général délégué de Dedalus France, M. Neyrat, assure avoir mis en place une cellule de crise afin de comprendre ce qu’il s’est passé.
En octobre 2020, Dedalus avait déjà fait parler de lui après le licenciement de l’un de ses développeurs strasbourgeois. Celui-ci avait alerté sur des défaillances de sécurité présentes dans les logiciels vendus aux laboratoires et aux établissements de santé. Interrogé par Rue89 Strasbourg, l’informaticien avait déclaré que le groupe manquait sérieusement d’une culture de la sécurité informatique.
La France est à la traîne en matière de protection informatique des données médicales, c’est un fait. Là où les établissements américains consacrent 4 % à leur protection, les français se limitent à 2 %, selon Vincent Trély de l’APSSIS.
Un budget pour la cybersécurité des données médicales
Pour répondre aux cyberattaques quotidiennes sur les établissements de santé français, le gouvernement a alloué 350 millions des 2 milliards d’euros du Ségur de la Santé dans le cadre de la stratégie cyber annoncée par Emmanuel Macron le 18 février dernier.
S’ajoute à ce budget une enveloppe de 136 millions attribués à l’ANSSI pour renforcer la cybersécurité de l’État dont 25 millions spécifiquement dédiés aux établissements de santé.
Vincent Trély, le président de l’association pour la sécurité des systèmes informatiques, rappelait dès 2016 au micro de France Culture que sur le marché noir des données, le dossier médical suscitait toutes les convoitises : “si vous êtes à la tête d’une base de données que vous avez subtilisée à un établissement d’une centaine de milliers de dossier médicaux, vous détenez entre 2 et 3 millions de dollars.”
Imaginez une compagnie d’assurance ou une banque qui tombe sur votre dossier médical : si elles savent que vous êtes malade ou même de santé fragile, vous accorderont-elles ce prêt ou cette assurance accordés à votre voisin dont le dossier médical est vide ? Nous entrons peut-être dans l’ère de Bienvenue à Gattaca.
La révolution du Big Data et les données médicales
Plus généralement, notre système de santé a-t-il pris la mesure de la révolution entraînée par le Big Data ? Les données en circulation, leur traitement et leur exploitation sont désormais les éléments centraux du capitalisme contemporain. Le centre du pouvoir économique s’est aujourd’hui déplacé vers ceux qui possèdent les données et savent les exploiter, suscitant une compétition sans merci pour faire partie des entreprises dominant le marché.
Pour Viktor Mayer-Schonberger et Thomas Ramge, les datas sont en train de transformer le fonctionnement même des marchés. L’information par les prix qui permet la coordination des conduites et des transactions sur le marché pourrait se voir remplacer par celle plus affinée des datas1.
Comment mieux protéger la vie privée des individus face à une cybercriminalité attirée par un marché de données juteux ? La faible résistance du système de santé français face aux cyberattaques interroge.
—
- Viktor Mayer-Schonberger, Thomas Ramge, Reinventing Capitalism in The Age of Big Data, John Murray, 2018. ↩
Pourquoi les autorités médicales françaises seraient elles intéressées à protéger les données des français? Vous allez quitter la sécurité sociale s’il ne le font pas? Dans le cas présent, vous pouvez changer de laboratoire. Ils pourront faire des efforts et vendre cette sécurité pour que les clients ne se fassent plus mettre à nu. Ils auront intérêt à le faire. Dans le cas des institutions publiques, vous aurez surtout intérêt à continuer de payer votre CSG, sinon gare à vous. Et si votre vie se retrouve étalée sur le net, et bien on s’en fout, vous continuerez de payer et vous avez intérêt à le faire le sourire.
Paye, sale con(tribuable)! Paye! T’es bon qu’à ça.
Une des réponses, et peux être la seule viable ne serait ‘elle pas une prise de conscience personnelle des individus sur ces questions ,plutôt qu’attendre qu’une autorité quelconque s’en charge ?
Ce qui m’amène d’ailleurs à poser une question à la cantonade, connaissez des ouvrages de références sur la cybersécurité (Francais ou Anglais?).
« si vous êtes à la tête d’une base de données que vous avez subtilisée à un établissement d’une centaine de milliers de dossier médicaux, vous détenez entre 2 et 3 millions de dollars. »
J’ai un peu du mal avec ça, qui payerait les millions en question ? les hackers vont pas contacter chaque personnes pour les faire chanter. Une compagnie d’assurance ou une banque qui payerait pour ça et commencerait à rembarrer ses clients à la santé fragile se dénoncerait en même temps.
Autant pour une entreprise qui se retrouve avec toutes ses données chiffrées et donc bloquée je comprend, autant les dossiers médicaux, sauf commande sur une personne précise, je sais pas, pour usurper des identités peut être…
L’exemple des banques ou assurances ne voulant pas accorder un prêt en cas de dossier médical fragile est mauvais. Pour travailler dans ce secteur, la déclaration de santé du demandeur est sur l’honneur, et ce n’est qu’en cas de sinistre que le dossier médical est épluché par l’assureur qui y a accès. Donc avant ou après, cela n’as pas d’importance pour l’obtention d’une assurance, le risque médical finit toujours par être bien identifié.
Non, à partir d’un certain montant (5ME dans mon cas) il y a visite médicale très poussée.
Quant à l’après, ce qui serait découvert, il faudrait pouvoir prouver que l’assuré en avait connaissance.
Ces données ont de l’importance pour les enquêteurs : le coût du fichier c’est peut être juste le montant d’une seule indemnité.
La sécurité informatique n’existe pas. Donc il faut faire avec et peut être légiférer sur l’exploitation des données volées ou utilisées sans autorisation.. Ex le bottin exploité sans vergogne par tous les escrocs de la terre et sans réaction de la cnil ou autres.
Pourquoi un laboratoire a-t’il besoin de ces données : vous contacter en cas de problème ?
Pourquoi ces données sont-elles dans la base de donnée un mois après (même pas anonymisées) et non archivées hors ligne ?
Probablement parce que le labo valorise ces données au mépris de votre consentement et de votre sécurité.
Remplacez “labo” par ce qu’il vous plaira …
mais en fait les banques et les compagnies d’assurances ne sont elles pas “légitimes” à demander certaines informations de santé?
le problème n’est il pas en fait le fait que certaines choses ne sont pas assurables..ce qui est certain ne s’assure pas..
j’aouterais que le constat du niveau consacré à la sécurité ne traduit ni un retard ni une avance ni la pertinence du choix mais juste la différence…mais bon..
Curieux piratage ! Quel est l’intérêt si ce n’est l’usurpation d’identité et la fraude à la sécurité sociale?