Mardi 17 mars, les pirates de Rex Mundi ont rendu publiques les données médicales de 15 000 français après avoir exigé une rançon auprès de Labio, laboratoire d’analyse de sang. Ce n’est pas la première attaque subie par un établissement ou organisme de santé. Comment cela s’explique-t-il ? Peut-on s’en prémunir ? Deux questions à Bernard Montel, directeur technique de RSA, la division sécurité d’EMC.
Le secteur de la santé : une cible facile ?
Le secteur de la santé n’est pas plus vulnérable qu’un autre, mais il est moins préparé, comparé à d’autres secteurs tels que l’industrie ou la défense. Bien que les données de santé soient importantes voire cruciales, le monde de la santé n’a pas encore atteint un niveau de maturité suffisant en termes de protection. Jusqu’à aujourd’hui, l’écosystème de la santé a sous-estimé la menace externe et fait face progressivement à la réalité d’être présent sur Internet.’
Dans le cas présent, nous sommes clairement dans une situation de fraude, où les cybercriminels cherchent principalement à monnayer les informations récupérées – alors que jusqu’à aujourd’hui et dans d’autres secteurs tels que l’e-commerce ou la banque, le but affirmé était de détourner l’argent de leurs victimes. La nouveauté ici ne réside donc pas dans les techniques utilisées mais plutôt sur l’objet de l’attaque : la donnée n’est pas importante de par sa nature, mais de par sa sensibilité – c’est cet aspect sensible qui est utilisé dans le cadre de cette fraude. L’information est prise en otage : on peut la détruire, on peut la monnayer, on peut la publier… Nous n’avons pas besoin de l’information en tant que telle, mais de son importance et de ses conséquences si elle était diffusée’
Comment réagir selon vous ?
Les laboratoires, par exemple, se sont énormément concentrés sur la protection de la propriété intellectuelle, ils doivent élargir cette protection à l’information sensible que sont les données des patients. La seule réponse aujourd’hui à ces attaques réside dans l’analyse des risques. Les établissements de santé doivent en effet être en mesure de mieux mesurer les pertes et les changements à effectuer au sein de leur système d’information. Ils doivent améliorer la surveillance de leurs données et ne pas se contenter de réparer les failles déjà existantes. Ils doivent réévaluer le risque par rapport à ce type d’attaque, augmenter la vigilance, ainsi que mettre en place les outils et processus nécessaires afin de réduire au maximum les risques à l’avenir. Il faut être capable de mieux détecter ce qui peut être source de revenus pour les cyber criminels.’
La santé est un secteur particulièrement fragile, mais les données sensibles peuvent également se retrouver dans d’autres domaines, tels que le secteur public par exemple, où l’on retrouve également des informations sur les individus. Ces secteurs doivent mieux surveiller l’activité sortante de leur système d’information.