La semaine dernière Le Figaro a pub­lié une analyse inquié­tante sur les cyber­at­taques des don­nées san­té : des experts améri­cains en cyber­sécu­rité ont tenu à alert­er les ser­vices médi­caux et com­pag­nies d’as­sur­ance, indi­quant que les cyber­crim­inels étaient de plus en plus attirés par les infor­ma­tions qu’ils déte­naient. 2015 sera sans con­teste «l’an­née du piratage des don­nées de san­té» !

Des données monnayables

Que font les cyber­crim­inels des don­nées piratées ? Le Figaro a inter­viewé Vin­cent Tre­ly, Prési­dent de l’As­so­ci­a­tion pour la Pro­mo­tion de la Sécu­rité de Sys­tèmes d’In­for­ma­tion de San­té (APSSIS), pour qui les hack­ers ont dif­férentes moti­va­tions :

-          L’espionnage indus­triel : les cybers­délin­quants sub­tilisent les don­nées rel­a­tives aux recherch­es ou avancées médi­cales des lab­o­ra­toires phar­ma­ceu­tiques,

-          Le chan­tage : les pirates volent ou cryptent les dossiers médi­caux des patients et négo­cient une rançon pour les restituer ou les décrypter,

-          La vente d’informations san­i­taires : les cyber­crim­inels reven­dent les infor­ma­tions san­i­taires des par­ti­c­uliers aux com­pag­nies d’assurances com­plé­men­taires ou aux lab­o­ra­toires phar­ma­ceu­tiques, afin d’arranger leurs tar­ifs ou établir des sta­tis­tiques pour ajuster leur mar­ket­ing. «Beau­coup de dia­bé­tiques en Alsace ? On cible donc la vente d’in­su­line sur l’Al­sace», imag­ine Vin­cent Tre­ly.

 

Ouverture des Big Data santé en France

Le Figaro souligne qu’en France l’ambition de la Min­istre de la San­té est d’aller dans le sens de «l’ou­ver­ture des don­nées» : Marisol Touraine pro­pose une cen­tral­i­sa­tion des bases d’in­for­ma­tions de san­té exis­tantes en un «grand sys­tème nation­al des don­nées de san­té» (SNDS), décrit en 2013 dans le rap­port sur la gou­ver­nance et l’u­til­i­sa­tion des don­nées de san­té . Ce dis­posi­tif rassem­blerait les infor­ma­tions rel­a­tives aux pris­es en charge hos­pi­tal­ières, à la médecine de ville, aux caus­es de décès, ain­si que les don­nées médi­co-sociales, afin de faciliter le tra­vail des pro­fes­sion­nels de la san­té grâce à un héberge­ment unique.

«Cette uni­fi­ca­tion apportera des risques sup­plé­men­taires car le ter­rain sera plus facile d’ac­cès pour les hack­ers si tout est groupé au même endroit», estime Vin­cent Tre­ly, en rap­pelant qu’en 2011 la mise en place du dossier médi­cal per­son­nel (DMP) — dossier numérisé regroupant les antécé­dents médi­caux, résul­tats d’analy­ses ou encore traite­ments en cours des patients — avait déjà com­pliqué la tâche des experts en sécu­rité.

«Cepen­dant, tem­père Vin­cent Tre­ly pour Le Figaro, depuis quelques années, l’É­tat a pris con­science de l’im­por­tance des men­aces et a lancé un cer­tain nom­bre de mesures pour pouss­er les étab­lisse­ments à se pro­téger». C’est ain­si que la HAS a inté­gré dans ses critères d’ho­molo­ga­tion en 2013 la sécu­rité infor­ma­tique des étab­lisse­ments de san­té : ceux qui ne répon­dent pas à un cer­tain niveau d’at­tentes n’ob­ti­en­nent pas les sub­ven­tions prévues à cet effet.

 

«Nos don­nées de san­té sont-elles assez pro­tégées? Je ne sais pas», con­clut Vin­cent Tre­ly. «Ce dont je suis sûr, c’est que l’ex­pan­sion des objets médi­caux con­nec­tés représen­tera un risque sup­plé­men­taire dans le futur mais les ini­tia­tives emboîtées par le gou­verne­ment vont dans le bon sens pour le moment».