SANTÉ : NOS DONNÉES SONT MENACÉES

Par Mikko Hypponen

Depuis des années, nos clients et consommateurs m’interrogent sur la sécurité de leurs données médicales. « Est-il vrai que ces données figurent parmi les cibles préférées des hackers ? Vont-ils chercher à accéder à mes antécédents médicaux ? ». Et, durant des années, ma réponse a été la suivante : « Non, ce n’est pas le cas. »

Environ 99% des attaques sur lesquelles nous enquêtons à F-Secure Labs ont un but lucratif : le principal objectif des cybercriminels est de gagner de l’argent. Je partais donc du principe qu’ils s’intéressaient avant tout aux données financières, comme les numéros de cartes de crédit… plutôt qu’aux clichés radiologiques.

Mon point de vue a changé aujourd’hui.

Nous avons constaté, depuis le début de la pandémie, une augmentation nette des attaques ciblant les hôpitaux, les unités de recherche médicale et même les patients.

L’attaque menée en octobre dernier contre le centre de psychothérapie Vastaamo en Finlande en est un bon exemple : des données sensibles de dizaines de milliers de patients ont été piratées.

Cette attaque montre comment un hacker peut tenter de monétiser des données médicales. Il faut être assez impitoyable pour cibler un domaine aussi sensible que la santé, mais une poignée de cybercriminels n’hésitent pas à sauter le pas et à faire chanter directement les patients.

S’attaquer aux individus plutôt qu’aux institutions et aux entreprises reste peu habituel mais certains indicateurs laissent penser que cette pratique pourrait se développer. Cette situation m’inquiète. Et si le Chief Research Officer de F-Secure est préoccupé, peut-être devriez-vous l’être aussi.

La plupart des opérations de piratage visant le secteur de la santé reposent sur l’utilisation de chevaux de Troie ransomware. Les hackers cherchent à paralyser le fonctionnement informatique des établissements visés, pour ensuite demander une rançon : « Payez-nous si vous voulez continuer à sauver des vies. » Nous avons assisté à un certain nombre d’attaques de ce type durant la pandémie. Les attaques Ryuk, notamment, ont touché des dizaines d’hôpitaux et d’établissements de soins, en particulier aux États-Unis, où le COVID-19 a poussé le système de santé au bord de l’effondrement.

Pour les hackers en quête de profit, cibler des hôpitaux en pleine pandémie constitue une stratégie très efficace, car ces établissements doivent rester opérationnels quoi qu’il en coûte. Et il existe malheureusement des individus assez cyniques pour tirer profit de ce genre d’opportunités.

Lorsque la pandémie a été déclarée en mars 2020, j’ai envoyé un message public aux groupes de pirates spécialisés dans le ransomware qui disait « Restez loin des hôpitaux pendant la pandémie ». Je ne m’attendais pas à une grande réaction, mais j’ai eu une réponse. Cinq gangs du cybercrime organisé ont déclaré publiquement : « Entendu. Nous ne nous en prendrons pas aux hôpitaux durant la pandémie. » Leur réponse fut une agréable surprise. Malheureusement, nul ne peut vraiment faire confiance à des criminels professionnels. Et nous avons effectivement constaté des attaques à l’encontre des hôpitaux, des institutions médicales et des patients.

Un défi de taille

Les données sanitaires ont toujours constitué une cible facile pour les cybercriminels car elles ne sont généralement pas bien protégées. La plupart des systèmes de santé sont financés par des fonds publics : de ce fait, ces données sont souvent stockées sur de vieux systèmes fonctionnant avec des systèmes d’exploitation obsolètes. Même si les hackers ont toujours eu un accès facile à ces systèmes, ils commencent aujourd’hui à réellement les convoiter : il devient donc urgent de protéger ces données personnelles, qui revêtent un caractère particulièrement sensible.

Que faut-il, alors, pour assurer la sécurité des données médicales ? Des moyens financiers, tout d’abord. Mais ce n’est pas tout.

En 2017, le logiciel WannaCry a frappé de plein fouet le service national de santé britannique (NHS). Cette attaque faisait suite à des décennies de coupes budgétaires qui ont affecté le secteur de la santé. La plupart des systèmes utilisés par le NHS fonctionnaient sous Windows XP en 2017, ce qui est inexcusable. Suite à l’attaque, le NHS a dû annuler quelque 19 500 rendez-vous et 600 opérations chirurgicales. Les hôpitaux, le personnel et, surtout, les patients, ont souffert de cette situation.

L’attaque WannaCry a causé des problèmes d’une telle envergure que le NHS a obtenu une augmentation budgétaire considérable pour régler les plus gros problèmes de sécurité qui avaient rendu l’attaque possible. Le fait qu’il ait fallu une telle catastrophe pour que les politiciens octroient au NHS le budget nécessaire, met en évidence l’une des plus grandes faiblesses de la cybersécurité : les gouvernements préfèrent allouer un budget en réponse à une catastrophe plutôt que de la prévenir en amont. Les experts en cybersécurité paient les conséquences d’une telle approche : leurs succès passent inaperçus mais chaque échec est retentissant. Or, il est bien difficile de jouer à un jeu où il faut échouer pour se bâtir une réputation.

Autre problème : contrairement aux données professionnelles – stockées durant des laps de temps relativement courts pour être soit détruites, soit rendues publiques – les données médicales sont traitées différemment : elles doivent rester accessibles, sécurisées et privées… à tout jamais. Et ce, malgré des budgets limités et des systèmes obsolètes. Le monde commence tout juste à réaliser l’ampleur de ce défi.

Nos données médicales sont désormais la proie d’attaques en tout genre. Pour réagir, un changement de paradigme s’impose. Les ripostes isolées ne suffisent plus : une réponse coordonnée est nécessaire. Le monde doit acquérir une meilleure compréhension de cette menace croissante et agir à tous les niveaux possibles.

Les professionnels de la cybersécurité joueront un rôle-clé mais la solution devra être collective. « Les e-mails des entreprises deviennent de simples archives en une vingtaine d’années. Les données relatives à la santé doivent être accessibles en toutes circonstances tout en restant sécurisées quoiqu’il arrive, de manière permanente. »