Mauvaise période pour le monde de la santé ! En effet, deux acteurs du secteur subissent des actualités dont ils auraient bien pu se passer.
Le centre hospitalier sud-francilien victime d’une cyberattaque
Le vendredi 23 septembre 2022, le groupe de hackers « Lockbit » a commencé à diffuser les données à caractère personnel qu’il avait dérobé un mois auparavant au centre hospitalier sud-francilien de Corbeil-Essonnes. Les cybercriminels s’étaient introduits dans le système informatique de l’établissement grâce au rançongiciel du même nom, un logiciel malveillant qui prend en otage les fichiers en les bloquants, s’en emparant par la même occasion. Le groupe de hackers avait fixé au 23 septembre, l’ultimatum à l’hôpital pour payer une rançon d’un million de dollars, seul moyen de ne pas voir livré sur le dark web, les précieuses informations de ses patients.
La nature des données personnelles dérobées
Ces données, obtenues lors de la cyberattaque, ont été publiées sur le site internet de « Lockbit » sous la forme d’une archive compressée téléchargeable de plus de 11 giga-octets. Dans un communiqué publié le dimanche 25 septembre, le centre hospitalier sud-francilien a indiqué que les éléments diffusés concernent des usagers, des membres du personnel ainsi que des partenaires de l’hôpital. Il s’agit notamment de certaines données administratives dont le NIR (numéro de sécurité sociale) et des données de santé telles que des comptes-rendus d’examen sur lesquels apparaissent les noms et les dates de naissance des patients mais également leurs antécédents médicaux.
Les rançongiciels, un fléau en augmentation
Ce scénario particulièrement grave est loin d’être le premier. Au cours de ces dernières années, les cyberattaques au rançongiciel sont devenues la principale menace cybercriminelle à l’encontre des entreprises et des institutions publiques. Le secteur de la santé, visé par ce que l’on appelle des « doubles extorsions » a ainsi été frappé de nombreuses fois. Les interventions de l’agence nationale de sécurité des systèmes d’information, qui intervient lorsque des attaques touchent le secteur public ou les entreprises sensibles, confirment cette augmentation. Cette dernière a été appelée 192 fois en 2022, un nombre multiplié par trois par rapport à l’année 2019, où elle était intervenue 54 fois.
Le monde médical touché par un scandale concernant la protection des données personnelles
Cet événement survient alors que le monde médical est touché par une affaire mettant en avant l’utilisation d’un élément de dossier d’une patiente sans son consentement. Les mercredis 21 et 28 septembre derniers, a comparu devant tribunal correctionnel de Paris, un chirurgien de l’hôpital Georges Pompidou pour « violation du secret professionnel » et « utilisation de données personnelles » portant atteinte à l’intimité de la vie privée.
En effet, le 21 janvier 2022, ce professeur de médecine a mis en vente sur deux sites américains, une photo de la radiographie d’un avant-bras transpercé par une balle de kalachnikov, issue du dossier médical d’une rescapée du bataclan.
L’homme, à l’encontre de qui le parquet requiert un an d’interdiction d’exercer la médecine, un an d’emprisonnement avec sursis et 15 000 euros d’amende, indique dans sa défense n’avoir commis aucune faute professionnelle ni juridique. Le cliché ayant été anonymisé avant d’être publié selon lui, et serait « une image abstraite d’un avant-bras, sans aucun nom ». La photographie de la radio, quant à elle, ne ferait partie du dossier du patient, selon le principal concerné.
C’est dans ce contexte, où les données à caractère personnel des Français n’ont jamais été aussi visées par diverses attaques, que l’entreprise Data Privacy Professionals vous rappelle sa présence au Bizz and Buzz – Festival du numérique. Elle animera une conférence sur le thème suivant : «RGPD et cybersécurité : quels impacts pour vos programmes de transition digitale ? ».
En savoir plus
- https://www.lemonde.fr/police-justice/article/2022/09/28/un-an-d-interdiction-d-exercer-requis-contre-le-chirurgien-qui-voulait-vendre-la-radio-d-une-patiente-blessee-au-bataclan_6143531_1653578.html
- https://www.bfmtv.com/police-justice/choquant-et-indecent-un-chirurgien-juge-pour-avoir-publie-la-radio-d-une-rescapee-du-bataclan_AN-202209280477.html
- https://www.lemonde.fr/pixels/article/2022/09/26/apres-la-cyberattaque-contre-l-hopital-de-corbeil-essonnes-ce-que-l-on-sait-sur-les-donnees-diffusees_6143245_4408996.html