Sécurité des données médicales : des risques croissants, la cryptographie à la rescousse

Par

Publié le 10/06/2022

Article réservé aux abonnés

La santé est aujourd'hui un des secteurs les plus exposés aux attaques informatiques malveillantes. Alors que Doctolib a fait face à une polémique sur la protection de ses données, le géant des rendez-vous médicaux en ligne et de la téléconsultation a exposé, avec son partenaire Atos, les enjeux de la sécurisation de ces data sensibles . La cryptographie est mise en avant.

Crédit photo : PHANIE

En 2021, 730 incidents de sécurité informatique ont ciblé des établissements de santé français, deux fois plus qu’en 2020. Cette évolution place le domaine de la santé parmi les secteurs les plus touchés devant la banque, l'industrie ou l'assurance.

La menace cyber explose depuis le début de la pandémie. « Alors qu’il y a quelques années, les attaques ciblaient le monde de la finance, désormais elles se recentrent sur la santé », avance même Jean-Baptiste Voron, chef de la cybersécurité chez Atos, leader européen du cloud, qui collabore avec le géant Doctolib sur la sécurisation des données. De fait, une information de santé peut s’arracher à prix d’or sur le dark web, plus cher encore que des coordonnées bancaires, « entre 50 et 200 euros, car elles permettent de conduire des attaques ciblées, percutantes », détaille l'expert d'Atos. Un prix élevé à condition que la donnée volée soit de « qualité » et ne se limite pas à un numéro de Sécu, mais une liste de pathologies ou un historique médical.

Phishing, rançons et géopolitique !

Ces derniers mois, des « aspirations » massives de data médicales ont été recensées : 1,4 million de données de tests Covid dérobées à l’AP-HP, 500 000 patients ciblés par une fuite émanant de laboratoires de biologie… L’objectif des attaques peut être, soit du « phishing » (hameçonnage), soit la demande de rançon, comme à l'hôpital de Dax en février 2021, où le système d’information avait été mis hors service.

Moins connue, la fuite de données médicales peut revêtir un caractère géopolitique. Selon certains spécialistes du secteur, la Chine s'emploie à constituer des listes de pathologies prévalentes dans le monde occidental, espérant procurer un avantage commercial à son industrie pharmaceutique.

Le système hospitalier qui, en France, a « 10 à 15 ans de retard » sur la sécurisation de ces données constitue une porte d’entrée assez facile pour les actes malveillants. Avec des conséquences potentiellement désastreuses, comme à Düsseldorf en 2020, où une cyberattaque avait causé le décès d’une patiente de 78 ans à la suite d'un d’un retard de prise en charge.

Praticiens peu scrupuleux qui laissent traîner leurs mots de passe, identifiants visibles sur le bureau d’accueil des urgences, logiciels hospitaliers d’imagerie disponibles en libre accès sur le web, mais aussi « manque de moyens des équipes informatiques » : autant de facteurs qui fragilisent les systèmes, énumère Jean-Baptiste Voron. « Il faut revoir le modèle en profondeur », alerte l'expert, alors qu’Emmanuel Macron a annoncé l'an passé un plan de lutte contre la cybercriminalité, estimé à un milliard d’euros.

Partage du secret

Dans un contexte de parc informatique vieillissant, les start-up se positionnent volontiers en aiguillons de la cybersécurité, à l'instar du n°1 Doctolib qui affirme adopter des méthodes de chiffrement inédites. « Notre modèle économique ne repose pas du tout sur l’exploitation des données, nous ne voulons pas y accéder », affirme un responsable de la sécurité de la licorne tricolore, qui crypte ses données de santé en partenariat avec Atos. « Nous partons du principe que, oui, il peut y avoir des fuites de gisement de données, donc la priorité est qu’elles ne soient pas identifiables par les attaquants une fois volées, qu’elles n’aient aucune valeur », résume Jean-Baptiste Voron. Une stratégie de brouillage qui repose sur des « chiffrements multiples ».

En pratique, Atos revendique un procédé de cryptographie ultra-sécurisé. Pour déchiffrer les données de santé, des clés sont générées de manière « très aléatoire, pour que personne ne puisse deviner le prochain tirage de clé ». Chaque clé est cryptée par d’autres, déchiffrables uniquement par une clé-maître, elle-même rangée dans un boîtier crypto. « Doctolib a décidé de confier cette clé maître à un tiers de confiance, Atos », poursuit Jean-Baptiste Voron. Enfin, la société Atos a fait le choix de ne pas avoir accès directement à cette clé de déchiffrement. « D’abord par un moyen physique : si quelqu’un essaye de prendre le boîtier, il s’autodétruit », atteste l'expert. Mais aussi grâce à une technique de « partage du secret » (sept employés détiennent un bout du puzzle, cinq au moins doivent être présents dans la salle). Un dispositif qui serait presque impossible à craquer, « du même type que pour les missiles nucléaires ».

Toutes les informations médicales sensibles qui transitent via la plateforme de rendez-vous et de téléconsultation seraient chiffrées de bout en bout, affirme donc Doctolib, qui a essuyé une polémique récente sur la sécurité. Le 20 mai, une enquête de Radio France a révélé que certaines informations relatives aux prises de rendez-vous (nom du médecin, spécialité, etc.) pouvaient être accessibles à certains salariés de la start-up. Un accès aux données administratives pour raison de maintenance et « uniquement si le praticien nous autorise à accéder à son agenda », se défend la société.

Amazon, un hébergeur qui fait tiquer

Autre choix qui a soulevé des craintes d'associations de médecins ou de patients : les données de service de la plateforme sont hébergées par le cloud du géant Amazon, AWS. Un choix « évident » pour Doctolib, qui fait valoir que « les produits de sécurité proposés par AWS sont de très bonne qualité ».

Pourtant, en hébergeant ses données chez le mastodonte américain, Doctolib s’expose de facto aux lois des États-Unis – dont le Cloud Act – qui donnent le droit aux autorités outre-Atlantique d’accéder aux informations des entreprises locales, si elles suspectent une activité criminelle. La cour de justice américaine peut ordonner, par mandat, d’accéder à des données spécifiques. Ces deux dernières années, seules trois requêtes ont été adressées à Amazon. Là encore, Doctolib se montre rassurant. « Si cela arrive, grâce au cryptage avec Atos, nous sommes sûrs que l’État américain n’aura accès qu’à des données chiffrées ».

Léa Galanopoulo