Hyperconnexion et data de valeurs caractérisent les hôpitaux et la santé du XXIème siècle. Un atout indéniable au service de la médecine personnalisée, mais un handicap notable dans la lutte contre les hackers : vols de données de santé, piratage d’implants connectés et ransomwares sont devenus légion.
Pour un pirate mal intentionné, l’hôpital est une cible de choix : des parcs informatiques rarement bien protégés bien que connectés, un personnel peu ou pas familier du sujet cybersécurité et manquant de temps pour s’en soucier, nous vous l’accordons, et surtout une mine de données parmi les plus recherchées sur le dark web, les données médicales.
La donnée de santé, nouvel or noir des hackers
La donnée de santé à une grande valeur. Sur le marché noir, un dossier médical peut se vendre 20 dollars, soit dix fois plus cher qu’un les infos d’une carte de crédit ! Quand l’on sait qu’un petit hôpital français (hors CHU) peut héberger plus de 200 000 de ces dossiers, on parle de 2 millions d’euros de gain potentiel à la revente ! Dans les pays anglo-saxons, Etats-Unis en tête ou santé et système de couverture santé sont privés, nous faisons face à un marché énorme pour qui serait mal intentionné et possédant les compétences techniques requises pour ce type d’attaques. Résultat : 176 millions d’américains (plus d’1/2) se sont fait voler leur dossier médical électronique (EHR) entre 2010 et 2017.
En 2017, les hôpitaux américains ont subi 32 000 attaques par jour
Autre risque majeur, un blocage des réseaux et services informatiques avec prise de contrôle à distance et demande de rançon en bitcoin. La NHS, la « Sécurité Sociale » britannique, a vécu un véritable cauchemar en 2017 avec 16 hôpitaux touchés à travers tout le pays, entrainant la suspension de milliers d’opérations, des scanners, IRM et services de radiologie inutilisables et des médecins revenant au crayon et bloc-notes pour assurer leurs tâches quotidiennes.
La tendance étant de toute façon à la digitalisation de la santé : arrivée du dossier médical partagé(le fameux DMP) et des nouvelles cartes vitales, mais aussi développement de la téléconsultation ; les cyberattaques de ce genre risquent de se multiplier.
Il n’y a pas que l’hôpital qui soit ciblé. L’IoT ayant envahi le domaine médical, ce sont aussi les objets de santé et les implants connectés, tels que pacemakers, pompes à insulines ou lecteurs de glycémie qui sont désormais à risque.
Pacemaker et pompe à insuline connectés
En 2016 déjà, le laboratoire Johnson & Johnson alertait d’une faille informatique sur l’un de ses modèles de pompes à insuline, paramétrable à distance sans intervention du diabétique utilisateur.
Un hacker (expérimenté), aurait pu intercepter les communications entre la télécommande et la pompe pour modifier le programme administrant l’insuline et provoquer une hypoglycémie.
Le pacemaker, dont le 1er a été implanté par 2 chirurgiens suédois en 1958, qui permet à 40 000 français de vivre normalement en stimulant de façon artificiel leur cœur défaillant, n’est pas non plus à l’abri d’un piratage. Et même si, à date, aucun piratage n’a été répertorié, le risque est bien réel est les conséquences seraient catastrophiques pour les porteurs de pacemakers.
Maxime Alay-Eddine, Président-fondateur de Cyberwatch, confirme qu’il est « possible d’attaquer certains pacemakers connectés ».
La santé connectée s’invite au poignet
Montres et balances connectées, fourchette intelligente minceur et même la plus récente bague analysant la fréquence cardiaque, la health tech rentre massivement dans les foyers. Les opportunités induites ne doivent cependant pas faire oublier les risques inhérents à l’hyper connectivité. En matière de santé, les risques sont particulièrement graves.
Les experts en cybersécurité s’accordent à considérer que les objets de santé connectés les plus à risque sont ceux équipés de micros ou de caméras et/ou avec un accès internet.
La société HP Fortify, qui a étudié des dizaines de montres connectées à l’occasion d’un étude poussée concernant la protection des données et la vulnérabilité cyber de ces dernières conclue que :
« 100% des montres connectées testées présentent des vulnérabilités significatives, comme une authentification insuffisante, l’absence de cryptage et des problèmes en matière de protection de la vie privée »
Quid de la sécurité des données de santé en France ?
Les hôpitaux français sont obligés d’avoir une PSSI s’ils souhaitent bénéficier de financements publics et ce depuis le lancement, en 2012, du programme Hôpital numérique.
En 2016, 230 établissements de santé publics et privés ont même été requalifiés « opérateurs d’importance vitale », les fameux OIV listés (confidentiel-défense) par l’ANSSI, soumis à des protocoles de cybersécurité draconiens et une attention soutenue des pouvoirs publics. Du côté des hébergeurs de données de santé et leur conformité avec le RGPD, la norme de sécurité des données de santé, l’ISO 270001, a été révisée et mise à jour en 2013.
Sunbren pour votre entreprise
Entrez en contact dès maintenant avec notre équipe commerciale pour définir avec elle la solution Sunbren optimisée pour votre entreprise.
Articles récents
JO 2024 : Quels enjeux de cybersécurité ?
Les Jeux Olympiques sont un événement mondial majeur, attirant des milliers d'athlètes, d'officiels et de spectateurs du monde entier dans une grande messe sportive autour des valeurs d’amitié, de respect et d’excellence. Alors que Paris se prépare à accueillir les...
Les avocats face au risque cyber : Protéger les données sensibles dans un monde numérique
Avec l'évolution rapide de la technologie et la numérisation croissante de leurs activités professionnelles, il est primordial pour les avocats de prendre conscience des risques cyber qui les guettent. En effet, la profession juridique n'est pas épargnée par les...
Hacker éthique, pirate pour la bonne cause
À chaque fin d’exercice, le bilan des incidents de cybersécurité semble toujours plus catastrophique qu’il ne l’était l’année précédente, et ce malgré les efforts fournis par les gouvernements, les entités étatiques et les entreprises. Les cybercriminels semblent...