Washington, Etats-Unis – En s’appuyant sur les rapports de trois entreprises spécialisées dans la sécurisation des données informatisées, le Bureau fédéral des Investigations (FBI) américain met en garde contre la nouvelle cible des cyber-délinquants : les dossiers-patients. L’informatisation à marche forcée des données de santé a, en effet, ouvert des failles dans la sécurité du système dont se sont emparés les adeptes du piratage informatique. Chaque dossier médical se monnaye désormais 50 dollars US au marché noir, soit bien plus que les 1 dollar échangé contre un numéro de sécurité sociale ou un numéro de carte bleue [1,2].
Des professionnels de santé faussement rassurés
« Le domaine de la santé n’est pas aussi résistant aux intrusions des cyber-délinquants que peuvent l’être ceux de la finance ou de la vente, ce qui rend le piratage tout-à-fait possible » indique le FBI [1]. Cette fragilité a vraisemblablement été accélérée par l’obligation de passer du papier à l’informatisation des données de santé avant janvier 2015. Cette urgence a conduit à une augmentation importante de la masse des informations santé disponibles, sans que des systèmes de sécurité adéquats aient forcément été mis en place.
Autre source de vulnérabilité : la confiance des professionnels de santé dans la sécurisation des données de santé alors qu’il a été montré que tant les outils utilisés en milieu médical (tels que les objets connectés, l’imagerie médicale, le matériel de vidéo-conférence, les imprimantes, etc) que les moyens de transmission et de sécurisation type VPN, « firewall » et « router » pouvaient être corrompus.
Interrogé par Medscape International, le Dr Steven Waldren de l’American Academy of Family Physicians (AAFP) précise que ce sont « les petites structures médicales ou de médecins avec une faible patientèle qui n’ont pas les moyens d’investir dans la sécurisation des données à l’instar des grands hôpitaux qui sont les plus à risque de hacking ».
Deux raisons au succès des données de santé - en forte demande sur les marchés illégaux : tout d’abord, les « victimes » mettent du temps à s’apercevoir du « vol », ensuite les moyens d’utiliser les informations médicales sont nombreux. Il s’agit principalement de la possibilité de se procurer des médicaments illégalement ou bien encore d’utiliser les données pour un usage financier frauduleux, notamment auprès des assurances.
D’autres alertes au cours des dernières années
On rappellera que l’an passé, l’Agence américaine du Médicament (FDA) avait déjà soulevé le problème et exhorté les fabricants d’appareils médicaux et les hôpitaux à améliorer la sécurité face à la menace grandissante de la cybercriminalité [2]. Il y a un an, elle soulignait les failles de sécurité et la protection obsolète des systèmes informatiques des hôpitaux, mettant en danger la confidentialité des dossiers des patients et l’ensemble des données stockées sur les serveurs.
Etaient aussi concernés les matériels médicaux comme les pacemakers ou des pompes à insuline qui sont contrôlés par des logiciels. Et pour cause,fin 2012, des médias avaient révélé que l’expert en sécurité informatique Barnaby Jack, avait déjà réussi à démontrer que les pacemakers de certains fabricants étaient vulnérables aux attaques via le wifi. Après en avoir pris le contrôle, simplement grâce au modèle et au numéro de série de l’appareil, il avait montré qu’il était possible de délivrer à son porteur des décharges électriques mortelles de 830 volts.
| Conseils de sécurité Dans l’article de Medscape International, le Dr Waldren donne quelques conseils : - Faire les mises à jour régulières de ses logiciels et installer tous les « patchs » de sécurité proposés par le vendeur ; - N’installer sur les ordinateurs que les logiciels nécessaires à la pratique professionnelle ; - Contrôler ou réduire l’accès à certains sites web aux employés qui ont accès aux ordinateurs professionnels ; - Crypter les données sur les appareils portables (ordinateurs, smartphones et autres) ; - Ne pas laisser son appareil portable (tablette, smartphone, ordinateur portable) sans surveillance (plutôt dans le coffre de la voiture que sur le siège arrière par exemple) ; - Préférer le regroupement de données avec plusieurs cabinets médicaux sur un système de type Cloud en ligne plutôt que sur un serveur individuel. Les mesures de sécurité proposées seront plus conséquentes. |
FBI. Health care systems and medical devices at risk for increased cyber intrusions for financial gain. 8 avril 2014.
FDA Safety Communication: Cybersecurity for Medical Devices and Hospital Networks. 13 juin 2013.
Citer cet article: Le FBI alerte sur la sécurité des données de santé informatisées - Medscape - 7 mai 2014.
Commenter