Le prix de vente des dossiers médicaux sur le Dark Web varie entre 0,03 € et 2,2 €, selon le dernier rapport du McAfee Labs, qui s’inquiète du manque d’investissement dans la sécurité informatique
« Le prix de vente des dossiers médicaux sur le Dark Web varie entre 0,03 € et 2,2 €. A titre de comparaison, une carte de crédit s’y monnaie entre 3,60 et 4,50 €, tandis que l’accès à un compte bancaire varie entre 12,60 et 22,50 € », soutient le laboratoire d’Intel Security dans un rapport dédié, intitulé « McAfee Labs Health Warning ». Selon lui, les vols les plus lucratifs dans le domaine de la santé concernent la propriété intellectuelle de l’industrie pharmaceutique et des biotechnologies. Intel Security révèle également que les cybercriminels cherchent à recruter des employés des firmes médicales pour opérer les fuites de données. « Pour un secteur d’activité où la confidentialité des données personnelles est cruciale, un déficit de confiance serait catastrophique », commente Fabien Rech, DG d’Intel Security France. « Dans la mesure où le domaine de la santé se retrouve de plus en plus menacé, il est indispensable d’évaluer d’ores et déjà le coût potentiel d’une fuite des données non seulement en termes de pertes financières, de temps, mais surtout en termes de perte de confiance. »
Le prix des données médicales
Les cybercriminels ne s’en tiennent donc plus seulement au vol de données bancaires. Mais alors que les cartes et les comptes bancaires peuvent être rapidement bloqués et remplacés, ce n’est pas le cas pour les données médicales pouvant inclure des informations personnelles sensibles (noms de famille, numéro de sécurité sociale ou de retraite, données d’assurance, historique des adresses des patients, etc.). Cette tendance ne sera pas inversée dans un futur proche, selon l’éditeur qui pense qu’afin d’identifier les possibilités de fraude, de vol, d’extorsion ou de chantage, il est possible que les cybercriminels soient amenés à analyser les données volées et à les corréler avec des informations provenant d’autres sources.
Le vol de la propriété intellectuelle et des données confidentielles d’entreprise
Le rapport d’Intel Security porte également sur les cyberattaques ciblant la propriété intellectuelle et les informations commerciales à caractère confidentiel des entreprises pharmaceutiques et biotechnologiques. Ses résultats suggèrent que la valeur économique de ces informations est considérablement plus élevée que les revenus potentiels de la vente des données personnelles des patients.
Les formules des médicaments de nouvelle génération, les résultats des essais cliniques et d’autres renseignements commerciaux confidentiels constituent une valeur importante pour les entreprises. Les chercheurs d’Intel Security ont démontré que les données, appartenant aux entreprises biopharmaceutiques, à leurs partenaires et aux organismes de réglementation impliqués dans l’introduction de nouveaux médicaments sur le marché, sont devenues une cible privilégiée des cybercriminels. « Comme beaucoup d’autres choses dans le monde, l’espionnage industriel est lui aussi devenu numérique », explique Raj Samani, CTO EMEA d’Intel Security. « Compte tenu des investissements en recherche et développement consentis pour les industries pharmaceutiques et les biotechs, il n’est pas surprenant que les cybercriminels soient attirés par le retour sur investissement (ROI) rapide offert par le vol de données sensibles dans ce secteur. »
L’économie du Cybercrime-as-a-Service
Le rapport indique également la manière dont les pirates informatiques s’appuient sur le marché du cyber-crime en tant que service pour exécuter leurs attaques contre les entreprises du secteur de la santé. Les chercheurs ont notamment trouvé des preuves d’achat et de location de kits d’exploitation permettant d’extorquer des données d’entreprises de la santé en tirant parti des vulnérabilités de leurs systèmes informatiques. Dans l’un des cas cités en référence dans le rapport, un cybercriminel relativement peu compétent s’appuie sur le « service technique » gratuit du vendeur du kit d’exploitation pour orchestrer son attaque et extraire plus de 1 000 dossiers médicaux. Selon le fournisseur du service, le revenu net pour la revente de ces informations pourrait s’élever jusqu’à 14 000 €.
En outre, Intel Security a pu également observer les efforts consentis par les cybercriminels dans le recrutement, dans leurs rangs, des employés du secteur de la santé. En effet, des annonces en ligne et sur les médias sociaux font appel aux personnes ayant accès à ces informations précieuses.
Le rapport est disponible ici