En Finlande, les données censées rester confidentielles de milliers de patients en psychothérapie ont été piratées. Menaçant de rendre ces informations publiques, les auteurs de l’attaque réclament une énorme rançon. Un fait divers qui met, de plus en plus, la sécurité informatique des établissements de santé sous le feu des projecteurs.
Un ransomware qui met en danger les données de milliers patients
Selon la presse finlandaise, le plus prestigieux institut privé de psychothérapie du pays fut contacté pour la première fois par des hackers fin septembre 2020. Chose qu’il n’a pas manqué de signaler à la police et aux autorités locales telles que le Centre national finlandais de cyber sécurité. Pour prévenir une éventuelle tentative d’intrusion il a même fait appel à une société de sécurité informatique privée.
Les premiers éléments de l’enquête, stipulent que le dossier médical électronique déjà piraté en 2018 était protégés par des accès que les hackers avaient alors identifiés. C’est grâce à ces derniers que les hackers ont pu encore une fois s’infiltrer pour dérober les données des patients.
Une faille sécuritaire impardonnable qui a conduit à des licenciements chez de hauts responsables de l’institut psychiatrique piraté. Des poursuites judiciaires vont être engagées également par l’actionnaire majoritaire de ce dernier à l’encontre de ces cadres qu’il juge directement responsable de ce qui s’est passé. D’autant plus que des attaques similaires étaient survenues en 2018 et en 2019.
Santé : l’hébergement des données de santé et leur protection comme un enjeu majeur
Il ne fait nul doute que le secteur de la santé est d’une grande sensibilité. Les données qui transitent entre les différents systèmes doivent être traitées avec la plus grande prudence de sorte à éviter qu’elles ne soient sujettes à des attaques de types ransomwares désormais très répandues.
Pour ceux qui ne le savent toujours pas, le ransomware est une attaque informatique qui consiste à infiltrer un système et crypter toutes les données qu’il contient. Pour que celles-ci soient débloquées, la victime doit bien évidemment verser une rançon aux hackers ayant initié l’attaque, d’où le nom « ransomware ».
Afin d’éviter de tels incidents, les mesures de sécurité à adopter sont claires. A commencer par sensibiliser le personnel médical quant aux dangers de la cyber criminalité. En leur montrant les manières les plus sûres pour manipuler leurs logiciels et machines (ordinateurs, imprimantes, etc.), on diminue déjà la probabilité qu’une attaque informatique survienne.
Ensuite, il est important que les applications utilisées au quotidien par le corps médical soient protégées par des protocoles de sécurité stricts. A titre d’exemple, certaines sociétés font des tests quotidiens pour identifier d’éventuelles vulnérabilités de leur système de sécurité.
L’installation de pare-feu et d’antivirus performants est également une approche importante à mettre en place.
Enfin, depuis 2016, l’agrément HADS (Hébergeur Agréé de Données de Santé) a été remplacé par une certification ISO (certification HDS). Celle-ci couvre plusieurs périmètres et n’est plus réservés aux seuls datacenter mais concerne toute la chaîne applicative : serveurs, logiciels, mais aussi sous-traitants. Les entreprises doivent être enregistrées auprès de l’ASIP Santé qui délivre les certificats. Ce certificat couvre bien évidemment la certification ISO 27001 mais aussi 27018 et 20000.
Les récentes attaques subies par les établissements de santé et l’impact de la crise sanitaire rendent de plus en plus importante la mise en œuvre de normes garantissant une protection optimale des données de santé.