Protection des données de santé : menaces et solutions en matière de cybersécurité

La cybercriminalité représente une menace importante pour le secteur public et les entités particulièrement sensibles aux interruptions de service, notamment dans le secteur de la santé. Les établissements de santé sont une cible privilégiée des cyberattaques en raison de leur taille, de leur dépendance aux ressources informatiques et aux prestataires, de l’important volume d’informations de santé protégées et d’informations à caractère personnel qu’ils détiennent. Un rapport du département américain de la santé et des services sociaux (le « HHS ») publié en 2023 note une augmentation de 93 % des violations de données d’ampleur dans ce secteur et une augmentation de 278 % des attaques par ransomware entre 2018 et 2022.

Melissa Parsons

Un article de

Melissa Parsons
Rédactrice technique
Publié le
April 10, 2024
mis à jour le
temps
min
Protection des données de santé - C-Risk

Établissements de santé, violations de données et ransomwares

 

Données financières, personnelles, médicales… les établissements de santé sont une source inestimable de données à jour et exploitables pour les cybercriminels qui se livrent à des activités frauduleuses par ingénierie sociale et vol de données. Autre objet de convoitise, les dossiers médicaux électroniques où sont stockés les antécédents, les diagnostics et les traitements des patients, désormais très courants dans le cadre de la collaboration entre médecins et laboratoires et impliqués dans des fuites de données.

 

LockBit est le groupe cybercriminel le plus prolifique du monde en matière de ransomware en tant que service (RaaS). Apparu en 2019, ses méfaits se chiffrent en milliards d’euros à l’échelle mondiale. Il est à l’origine de pannes de réseau et d’interruptions de service dans plusieurs hôpitaux en France et aux États-Unis. En février 2024, au terme d’une opération judiciaire menée conjointement par 10 pays et baptisée « Opération Cronos », son infrastructure technique et son site public de fuite ont été démantelés sur le dark web.

 

Mais quelques jours auparavant, le groupe menait une attaque par ransomware sur l’hôpital d’Armentières, dans les Hauts-de-France.

 

L’hôpital d’Armentières victime d’une attaque par ransomware

 

Le 11 février 2024, à l’aube, les imprimantes de l’hôpital d’Armentières se mettent en route et déversent les messages de revendication d’une cyberattaque par ransomware. Dans l’heure suivant la découverte de l’attaque, le service informatique de l’hôpital confirme que l’ensemble des ordinateurs du centre ont été déconnectés du réseau et que la police a été alertée.

 

Ce jour-là, 130 patients étaient pris en charge par l’établissement. Le personnel, très réactif, a pu imprimer le dossier de chacun d’eux afin d’assurer le suivi des soins. Fermé pendant 48 heures, l’hôpital n’a pas été en mesure d’accueillir de nouveaux patients dans ses services. Les urgences, hors maternité, ont été fermées et les ambulances orientées vers les autres hôpitaux de la région. Bilan de cette cyberattaque : plus de 300 000 personnes sont concernées par le vol de leurs données.

 

Dans son Panorama de la cybermenace édition 2023, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) note qu’une attaque par ransomware sur dix en France vise les établissements de santé du secteur public. Autre secteur durement touché, les collectivités territoriales et locales ont représenté respectivement 9 % et 24 % des victimes d’attaque par ransomware.

 

Risques liés aux tiers et données de santé sensibles

 

Pour les cybercriminels, les fournisseurs de services sont une autre voie d’accès aux données sensibles, à l’origine d’interruptions majeures des systèmes de santé. Ces prestataires traitent de grandes masses de données de santé pour les hôpitaux, les médecins, les assureurs de soins médicaux et dans le cadre de programmes nationaux de santé. La cyberattaque d’un fournisseur de services informatiques, par exemple, peut être lourde de conséquences. Des événements tels que l’attaque par phishing des opérateurs de tiers payant Viamedis et Almerys et l’attaque de Change Healthcare par ransomware soulignent la nécessité d’un contrôle solide des sous-traitants, qui doivent eux-mêmes mettre en œuvre des mesures de cybersécurité strictes.

 

En France comme aux États-Unis, ces deux cyberattaques ont sévèrement ébranlé des infrastructures essentielles. Dans ces affaires, plus de la moitié de la population française est concernée par le détournement de ses informations à caractère personnel. Sans compter que ces données enrichissent le stock d’informations sensibles du dark web dans lequel les acteurs malveillants peuvent puiser pour leurs campagnes de phishing. Les attaques lancées sur les deux opérateurs ont également perturbé la transmission et le paiement des demandes de remboursement. Finalement, de nombreux assurés ont donc été privés de services de santé, de médicaments ou de dispositifs médicaux tels que lunettes et prothèses délivrées sur ordonnance.

 

L’attaque par ransomware sur Change Healthcare, filiale américaine de United Health Group, a désorganisé des milliers de médecins, d’hôpitaux, de pharmacies, de procédures administratives et de facturation dans l’ensemble du secteur de la santé, et perturbé le fonctionnement de services d’une importance vitale. Plus de 100 services ont été paralysés pendant plus de quatre semaines, et des initiatives de remédiation sont toujours en cours.

 

L’ampleur de la violation de données est toujours à l’étude, mais on parle déjà de 100 millions de dollars par jour de perte pour les prestataires de santé. En outre, des actions de groupe ont déjà été lancées contre l’entreprise, preuve de l’inquiétude qui règne concernant la gravité de ces fuites de données personnelles.

 

Cet événement souligne le rôle capital de la cybersécurité dans le secteur de la santé, y compris pour les fournisseurs, et l’effet domino de ces attaques sur l’accès aux soins. En outre, il épingle l’urgence de mesures de sécurité renforcées et de stratégies de réponse accélérée pour protéger les données de santé sensibles et préserver l’accès aux soins de santé.

Connaissez-vous les risques liés aux tiers ?

Faites évoluer votre programme de gestion des risques liés tiers avec SAFE One Third-Third Cyber Risk Management

Cadre légal de la protection des données de santé

 

La stratégie mondiale de l’Organisation mondiale de la santé (OMS) pour la santé numérique 2020-2025 définit des objectifs stratégiques pour protéger le volume croissant de données de santé sensibles détenues par les pays, le secteur de la santé et les entreprises du secteur privé.

 

L’OMS affirme que la santé numérique fait partie intégrante des priorités en matière de santé et doit bénéficier aux personnes dans le respect de l’éthique et de manière sûre, fiable, équitable et durable.

 

Protection des données en Europe

En Europe, les données de santé sont protégées par le Règlement général sur la protection des données (RGPD), entré en vigueur en 2018. Chaque État membre a ensuite institué une autorité de contrôle nationale chargée d’en surveiller l’application : la CNIL pour la France et le BfDI pour l’Allemagne, par exemple. Après le Brexit, le Royaume-Uni a adopté un cadre réglementaire national qui reprend le texte de l’Union européenne. Le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial de l’année N-1.

 

Le RGPD ne différencie pas les informations de santé protégées et les informations à caractère personnel. Toutes les données personnelles font l’objet d’une protection. Le règlement introduit toutefois des catégories particulières de données à caractère personnel (cf. Art. 9 du RGPD).  


Sont définies comme sensibles les données suivantes :

  • les informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou
  • l’appartenance syndicale,
  • le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique,
  • des données concernant la santé ou
  • des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Les données à caractère personnel telles que définies par la Commission européenne sont « des informations se rapportant à une personne vivante identifiée ou identifiable. Différentes informations dont le regroupement permet d’identifier une personne en particulier constituent également des données à caractère personnel. » Voici quelques exemples de données personnelles :

  • Prénom et nom
  • Adresse de domicile
  • Adresse IP
  • Identifiant public d’un téléphone
  • Données détenues par un établissement ou du personnel médical

Protection des données aux États-Unis

Aux États-Unis, aucune loi fédérale ne protège les informations à caractère personnel, contrairement à ce qui se fait en Europe. Toutefois, la loi HIPAA (Health Insurance Portability and Accountability Act) adoptée par le Congrès en 1996 réglemente les bonnes pratiques en matière de protection et de partage des données de santé ou des informations de santé protégées. L’Office for Civil Rights (OCR) du département américain de la santé et des services sociaux (HHS) est chargé de sa mise en œuvre.

 

L’HIPAA protège les données de santé à caractère personnel détenues ou transmises par une entité couverte ou ses associés, qu’elles soient orales, écrites, au format papier ou électronique.

Sont qualifiées de données de santé :

·  les données qui font état de la santé ou de la condition physique ou mentale passée, présente ou future d’une personne physique ;

·  les données qui font état d’une prestation de soins de santé ;

·  les données relatives au paiement d’une prestation de soins de santé.

 

Parmi les données de santé à caractère personnel, citons le nom, l’adresse, l’adresse électronique, la date de naissance et le numéro de sécurité sociale. La hauteur des sanctions appliquées au civil par l’OCR dépend du type d’infraction relevée. Particuliers et organisations peuvent être sanctionnés pour infraction involontaire à la loi, pour motif raisonnable ou pour infraction par négligence volontaire. Dans les cas les plus graves, le ministère américain de la Justice peut engager des poursuites au pénal.

 

Solutions de renforcement de la sécurité des données de santé

Les agences de cybersécurité du monde entier peinent à saisir les motivations derrière certaines cyberattaques : appât du gain, espionnage, tentative de déstabilisation ? Le secteur de la santé traite certaines des informations les plus sensibles de la société. Il est donc crucial que la confidentialité, l’intégrité et la disponibilité des données sensibles soient protégées du sommet à la base.

 

Zoom sur la gouvernance de la cybersécurité

La gouvernance des informations de santé protégées et des informations à caractère personnel devrait être développée par le biais de consultations multipartites. La cybersécurité ne doit pas être la chasse gardée des services informatiques. L’introduction de règlements et de directives (par exemple, NIS2) souligne l’importance des conseils d’administration en matière de décisions de sécurité et de la surveillance des infrastructures critiques.

 

Élaboration d’un plan de réponse aux incidents

Violations de données, attaques DDoS, infection par malware, menaces internes, failles de sécurité diverses… l’élaboration d’une stratégie incluant des directives claires pour cadrer les différents scénarios de risque cyber vous aidera à minimiser les interruptions de service, à réduire l’impact financier et à améliorer la conformité réglementaire.

 

Sensibilisation et formation continues à la cybersécurité

La sensibilisation des professionnels de la santé aux bonnes pratiques cyber constitue votre première ligne de défense contre les menaces internes. Des sessions de formation régulières portant sur les techniques de phishing, les bonnes habitudes en matière de mots de passe, le signalement des e-mails suspects… donnent les clés aux professionnels de santé pour reconnaître les cybermenaces et y faire face.

 

Le secteur de la santé est particulièrement vulnérable aux cyberattaques en raison de la masse de données sensibles qu’il traite et de sa dépendance aux ressources informatiques et aux prestataires. Les conséquences de ces attaques peuvent être dramatiques, qu’il s’agisse de la désorganisation de services de santé vitaux ou de la compromission de données confidentielles de millions de personnes. Les organisations doivent mettre en œuvre des mesures de sécurité renforcées, des stratégies de réponse accélérée et des formations appropriées pour protéger les données de santé sensibles et préserver la continuité de l’accès aux soins.

 

Solutions de renforcement de la sécurité des données de santé

Approche quantitative et justification des décisions cyber

 

La quantification des risques cyber (CRQ) est une approche puissante permettant aux organisations d’appréhender en termes financiers les risques cyber qui les menacent. Cette démarche permet de hiérarchiser les décisions de sécurité et de développer leur résilience. Les entreprises s’assurent ainsi que leur posture de sécurité reste à la fois robuste et réactive dans un contexte numérique en constante évolution.

 

C-Risk s’appuie sur des techniques de modélisation et des analyses avancées pour quantifier l’impact financier des menaces cyber sur les ressources et les processus critiques. Découvrez comment notre expertise de valorisation de la gestion quantitative des risques peut changer la donne pour votre organisation, quel que soit son degré de maturité en matière de risques. Main dans la main, transformons votre approche des risques cyber en une ressource stratégique qui conforte vos prises de décision.

Dans cet article
Utilisez la CRQ pour une meilleure prise de décision

Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.

Articles associés

En savoir plus sur les cyber-risques, les attaques par ransomware, la conformité réglementaire et la cybersécurité.