Alors que le secteur de la santé s’engage pleinement dans sa transition numérique, les experts tirent la sonnette d’alarme. Entre la multiplication des objets médicaux connectés, le manque de formation des utilisateurs et la foule de données confidentielles mal protégées, le risque de cyberattaques s’intensifie.
Un secteur particulièrement vulnérable
Le numérique est aujourd’hui largement utilisé dans les hôpitaux et par les professionnels de santé pour stocker des données et utiliser du matériel médical. Cette transition permet d’améliorer les soins et les diagnostics, en favorisant la coopération entre professionnels. Le revers de la médaille, c’est que les dossiers des patients, stockés sur des serveurs souvent peu sécurisés, sont à la proie des hackers. Le spécialiste de la cyber-sécurité Greenbone a réalisé des tests dans 52 pays, pour mesurer la vulnérabilité du secteur. Ses experts ont réussi à accéder à 24 millions de dossiers et à 700 millions d’images médicales. Sur 2300 systèmes d’archivage, 590 étaient accessibles, et 39 ne bénéficiaient d’aucune protection. Le plus inquiétant, c’est qu’il n’y a pas besoin d’être un pro du hacking pour trouver des données médicales, les mesures de sécurité étant souvent sommaires.
Les hackers s’attaquent à l’hôpital
Les hôpitaux ne sont pas ménagés par les pirates, surtout aux États-Unis, plus en avance que la France en matière d’interconnexion. Outre-Atlantique, les hôpitaux subissent 32 000 attaques par jour, contre 14 300 dans les autres secteurs industriels. En France, ce n’est pas encore aussi grave, avec 1340 attaques par an, mais la menace monte. Les ransomware figurent parmi les attaques les plus communes ; en 2017, le ransomware WannaCry a infecté de nombreux hôpitaux américains, ainsi que le National Health Service britannique, qui a dû repousser des milliers d’opérations. Les chevaux de Troie déferlent également en masse, avec une augmentation des attaques de 82 % au troisième trimestre 2019.
Le marché noir des données médicales
Les informations contenues dans les dossiers médicaux sont très précieuses. Aux États-Unis, où la santé est privatisée, les dossiers se vendent de 20 à 30 dollars sur le marché noir, soit dix fois plus que les informations de cartes de crédit. Les données recueillies par les hackers sont ensuite utilisées pour faire des fraudes à l’assurance et commander du matériel médical et des médicaments sous de fausses identités. Entre 2010 et 2017, 176 millions de dossiers médicaux ont été ainsi piratés, selon le Journal of the American Medical Association.
Le piratage d’objets connectés, un véritable cauchemar
Le piratage d’objets connectés dans le secteur médical est encore plus préoccupant. Pacemakers, défibrillateurs et pompes à insuline connectés peuvent être contrôlés à distance par des individus malveillants, et provoquer la mort de patients. Un rapport américain a repéré 1400 vulnérabilités dans un seul implant connecté. La bonne nouvelle, c’est que ce type de piratage est très complexe, et donc pas à la portée du premier hacker venu.