Cybersécurité

Pourquoi France Assos Santé ne porte pas plainte contre les établissements hackés

Par

Publié le 01/06/2023

La stratégie des associations de patients n'est pas de stigmatiser les hôpitaux hackés, mais de les accompagner dans leur démarche de reconstruction, selon France Assos Santé. Détails.

Arthur Dauphin, chargé de mission numérique en santé chez France Assos Santé
Crédit photo : DR

Le centre hospitalier sud francilien (CHSF) a été victime d’une cyberattaque le 20 août 2022. Le 12 septembre 2022, les cybercriminels ont lancé un ultimatum de diffusion en masse des données en publiant sur leur site quelques preuves d’exfiltration des données. Le 23 septembre, devant le refus de l'hôpital de payer la rançon, ils diffusent certaines de leurs données administratives dont le NIR (numéro de sécurité sociale) et leurs données de santé (telles que des comptes rendus d’examen et en particulier des dossiers externes d’anatomocytopathologie, de radiologie, laboratoires d’analyse, médecins) figurent potentiellement parmi les données divulguées sur le site des attaquants.

Fait nouveau par rapport à l'historique de la cyber, l’Unacs* porte plainte fin septembre 2022 contre l’établissement qui, selon elle a multiplié les erreurs, prenant trop à la légère le risque d’un blocage de ses serveurs informatiques et du vol de ses données. L’association dénonce notamment « le choix de prestataires en sous-traitance de la maintenance informatique dont la mission a été à l’évidence défectueuse ».

Conséquence ou non de cette première plainte, en octobre, 700 000 courriers sont adressés par la direction de l'hôpital à l’ensemble des patients et personnels de l’hôpital potentiellement concernés par une violation de leurs données personnelles et médicales.

Les représentants des usagers face à la multiplication des attaques informatiques des hôpitaux vont-ils se saisir de cet outil juridique ? Pour l'instant non, selon Arthur Dauphin, chargé de mission numérique en santé chez France Assos Santé (dont l'Unacs ne fait pas du tout partie). Selon lui, la question n'est pas de savoir si un hôpital va se faire hacker, mais quand : « Plus que la plainte, nous préférons travailler avec les établissements de santé pour la reprise de leur plan d'activités, ou les aider à construire une information transparente. La mise au ban de l'hôpital ne nous paraît pas nécessaire. »

Au contraire, les représentants de patients préfèrent que les usagers puissent porter leurs droits par voie légale et que ce sujet soit porté politiquement par les associations dans la gouvernance. Par ailleurs, leur combat est d'attirer l'attention des usagers de soins sur l'impact durable sur l'activité d'un établissement et donc sur la réduction de l'offre de soins engendrée par une attaque cyber. Souvent ces derniers ne sont pas au courant de ce qu'est réellement une faille. Ils s'inquiètent à tort que leurs données de santé fuitent sur le dark web, et soient utilisées par leur assureur pour augmenter leur cotisation ou par leur banquier pour refuser l'assurance de leur prêt. Mais souvent ils sont bien moins sensibles aux dangers d’hameçonnage via des mails et SMS frauduleux. Or, souligne Arthur Dauphin, ce sont bien les données de santé des hôpitaux qui sont les plus à jour et qu'il faut contribuer le plus possible à protéger.

*L’Union nationale des associations citoyennes de santé (UNACS)