Les cybermenaces contre les établissements de santé : les leçons de l’attaque contre l’AP-HP
En 2021, dans un contexte marqué encore par la pandémie de COVID-19, la Commission nationale de l’informatique et des libertés (ci-après la « Cnil ») a fait de la sécurité des données de santé l’un de ses trois thèmes prioritaires.
Cette décision de la Cnil s’expliquait non seulement par le traitement à grande échelle des données de santé dans le contexte de la crise sanitaire, mais aussi par la recrudescence de cyberattaques contre les établissements de santé dont notamment l’Assistance Publique des Hôpitaux de Paris (ci-après l’ « AP-HP ») en août 2021.
Les données de santé selon le RGPD
Le Règlement général sur la protection des données (ci-après le « RGPD ») range les données de santédans les catégories particulières de données à caractère personnel. Selon l’article 9.1 du RGPD, le traitement de ces données est interdit. Néanmoins, l’article 9 alinéa 2 et 3 autorise sous certaines conditions leur traitement, notamment en matière diagnostics médicaux, de prise en charge sanitaire, de gestion des systèmes et des services de soins de santé.
Ces données sont dites sensibles car leur violation ou leur révélation peut avoir un impact important sur la vie privée des personnes concernées.
Le RGPD recommande, à ce titre, des mesures de sécurité adéquates pour les protéger. Leur accès illégitime par des personnes non autorisées en constitue une violation. Cet accès illégitime offre également à la personne un pouvoir de nuisance, de chantage, de malfaisance vis-à-vis de la personne concernée ou d’avantages qu’elle n’aurait pas eu en l’absence de connaissance de ces données de santé. C’est peut-être l’une des raisons pour lesquelles les données de santé sont devenues de plus en plus la cible des cyberattaquants.
La cyberattaque contre l’AP HP
Une attaque contre l’AP-HP aurait eu lieu au cours de l’été 2021, mais l’Agence nationale pour la sécurité des systèmes d’information (ci-après l’ « Anssi ») n’a découvert la faille que plus tard, et mis au courant l’AP-HP le 30 août 2021.
L’attaque n’a finalement été confirmée que le 12 septembre 2021, ce qui a conduit le Parquet de Paris à ouvrir une enquête. Trois jours plus tard, le 15 septembre, l’AP-HP ainsi que le ministre de la santé,ont chacun porté plainte auprès du procureur de Paris, tandis que la Cnil et l’Anssi ont été informés.
Les données personnelles d’1,4 millions de personnes, résidant essentiellement en Ile-de France et ayant réalisé un test PCR ou sérologique auraient été dérobées.
De plus, il s’avère que les données ont été diffusées sur internet en accès libre durant 5 jours. Mais, il est impossible de savoir si elles ont été téléchargées et partagées ou vendues à un tiers.
Les causes de la fuite
L’AP-HP avait émis l’hypothèse d’une faille de sécurité dans le système, qui ne concerne pas le fichier national des tests de dépistage (SI-DEP), mais un service sécurisé de stockage et de partage des fichiers qui lui est auxiliaire. Ce dernier a été utilisé ponctuellement en septembre 2020 pour envoyer les données utiles à l’accompagnement des personnes et à l’établissement des chaines de contamination (contact tracing) à l’assurance maladie et aux Agences régionales de santé.
Tandis qu’aujourd’hui l’envoi est numérisé, la transmission des informations se faisait en septembre 2020 de manière manuelle. A l’époque, la Cnil, avertie du processus n’avait émis aucune mise en garde.
Les risques : phishing et usurpation
L’AP-HP a annoncé qu’elle informerait personnellement les personnes concernées, conformément à l’article 34 du RGPD car la violation des données présente un risque élevé pour les droits et les libertés.
Un courriel électronique a ainsi été envoyé à 600 000 personnes, les autres auraient été informées par voie postale. Le directeur général d’alors de l’AP-HP, Martin Hirsch, s’est excusé tout en insistant sur des recommandations en termes de sécurité et de vigilance.
Les données concernées seraient composées de données de santé tels que le résultat du test à la COVID 19 et le numéro de sécurité sociale, mais aussi de données courantes comme les nom, prénom, date de naissance, sexe, âge, adresse postale, adresse électronique et numéro de téléphone. Les pirates n’auraient pas eu accès au dossier médical des personnes ou encore à leurs comptes Améli.
Selon la Cnil, l’un des principaux risques est l’usurpation d’identité. Par exemple, à l’aide du numéro de sécurité sociale, il serait possible d’obtenir suffisamment d’informations pour demander la création d’une nouvelle carte.
Un autre risque plus courant est celui de l’hameçonnage, dit également « phishing », qui passe par l’envoi de mails ou de SMS frauduleux visant à demander des informations personnelles (comme des données bancaires ou des identifiants et des mots de passe). En l’occurrence, vu que de nombreuses informations ont été dévoilées, il serait possible pour les pirates de créer des mails très personnalisés et maximiser leurs chances d’obtenir la confiance de leurs victimes.
Multiplication des attaques à l’encontre des hôpitaux depuis l’épidémie
La pandémie, entraînant une hausse des consultations et des tests, est à l’origine d’une plus grande propagation de certaines données. En conséquence, les hôpitaux sont devenus une cible de choix pour les attaques cyber-informatiques. A titre d’exemple, en février 2021, 500 000 patients se sont vus dérobés leurs données, comprenant notamment le mot de passe permettant d’accéder aux résultats médicaux.
