Newsletter:
« Nous partagerons vos données sensibles avec le public, si vous ne coopérez pas » : voilà un exemple de message qu’ont reçu les victimes de ransomware lorsque leurs données médicales ont été piratées. S’il existe bien un milieu où une cyberattaque a des conséquences majeures, c'est bien dans le secteur de la santé. Et malheureusement, aux Pays-Bas, la plupart de ces usurpations ciblent ce type de d’informations. Quelles sont les conséquences de ces attaques pour les patients ? Pouvons-nous agir afin de les éviter ? Enquête.
Nous sommes en octobre 2020 lorsque des dizaines de milliers de Finlandais ont reçu un courriel leur indiquant que leurs données médicales seraient rendues publiques s'ils ne paient pas 200 € en bitcoins dans les 24 heures. Une fois ce délai dépassé, la menace passe à 500 euros à payer dans les 48 heures. Les pirates ont découvert une fuite au centre de psychothérapie finlandais Vastaamo et ont piraté tous les dossiers médicaux. Les données téléchargées comprennent le nom complet des patients, leur numéro de sécurité sociale, le nom de la clinique où ils ont été traités ainsi que toutes les transcriptions de leurs séances.
30 000 victimes
Vastaamo a été fondée en 2009 en tant que fournisseur numérique de services de santé mentale. Les personnes l’utilisaient pour obtenir des réponses médicales dans les 24 heures auprès de thérapeutes qualifiés. La société souhaitait répondre à la demande croissante de thérapie en présentiel. Elle a donc étendu son offre à 25 nouveaux centres à travers le pays. Bien que le rendez-vous lui-même ait lieu en face-à-face, toutes les autres questions étaient entièrement traitées numériquement et automatisées.
À l’époque, le fondateur n'était pas satisfait des dossiers électroniques des patients existants. Il a donc décidé de développer en interne une nouvelle plateforme en ligne, un DEP. Cette dernière a été mise en place fin 2012, à la même période où la première clinique Vastaamo a ouvert ses portes à Helsinki. Les soins en présentiel et virtuels fournis par la start-up étaient en partie financés par le système national de soins de santé. Quant aux nouveaux patients, ils étaient approchés par des campagnes publicitaires numériques intelligentes.
La Finlande est l'un des champions de l'e-santé. Cependant, par rapport à d'autres pays, il existe encore un grand tabou dans la culture finlandaise. Ce n’est pas la psychothérapie qui pose problème mais bien le fait d’évoquer ses ressentis ouvertement avec son entourage. La raison ? Le respect de la vie privée, qui est le fondement le plus important du système de santé numérique finlandais.
Durant 10 ans, Vastaamo a eu le vent en poupe, jusqu'à ce qu’elle subisse cette fuite catastrophique. Un choc inimaginable pour l’entreprise de soins de santé qui ne s'en remettra pas. Les répercussions de cette attaque furent d’autant plus désastreuses car beaucoup de patients ignoraient que les conversations avec leur thérapeute étaient stockées numériquement sur les serveurs de Vastaamo. Au final, 30 000 personnes ont reçu l'e-mail d'extorsion et environ 80 % d’entre elles l'ont signalé à la police. L'unité d'aide aux victimes en Finlande (RIKU) a constaté une augmentation de 50 % du nombre de demandes d'assistance depuis ce piratage informatique. Les victimes ont dit craindre d'être persécutées pendant des années parce que leurs antécédents médicaux avaient été rendus publics.
Qui sont les pirates derrière ces attaques ?
Nous savons maintenant que de plus en plus de patients sont victimes d'une brèche chez un prestataire de soins de santé. Avec la croissance rapide de la digitalisation dans le secteur médical, ce n’est pas une surprise. Depuis le premier trimestre de cette année, plus de 15 milliards de dollars ont été investis dans des start-ups de santé en ligne dans le monde entier. Cela représente une hausse de 138 % par rapport au premier semestre de 2020. Ce sont surtout les jeunes start-ups américaines qui sont repérées par les grands investisseurs et qui séduisent les consommateurs. Mais une offre plus importante de la part d'un plus grand nombre de jeunes entreprises signifie également un risque plus élevé de cyberattaques.
Malheureusement, de nos jours un pirate informatique n’est bien souvent plus un loup solitaire agissant dans l’ombre. Il est plutôt question de véritables organisations professionnelles, composées de plusieurs petites branches. C'est ce qu'on appelle la chaîne de destruction des ransomwares. Prenons l'exemple d'un hôpital : l’intrusion est initiée par un courtier en accès initial. Il s'agit d'un cambrioleur numérique qui s'accorde l'accès à un système hospitalier mal sécurisé. Il ou elle recherche les erreurs dans les logiciels de sécurité, craque les mots de passe et envoie des courriers de phishing aux utilisateurs du système numérique. En fait, ces courtiers ne font que se promener virtuellement dans l'hôpital et regardent si une porte est ouverte quelque part comme celle qui méne aux archives des patients, par exemple. Ils n'entrent pas physiquement dans l’établissement, mais vendent seulement l'accès au système hospitalier.
Hackers et développeurs
Les pirates qui volent les dossiers numériques des patients sont également appelés « affiliés aux rançongiciels ». Ils achètent aux développeurs des ransomwares spéciaux afin de pouvoir prendre numériquement l'hôpital en otage. Le pirate se fraye ensuite lentement un chemin dans le système numérique de l’établissement visé. Le but est de s'emparer d'un compte d'administrateur afin de pouvoir pirater les serveurs et les comptes. Puis ils encode l'environnement en ligne et volent les données. Des gestionnaires de données spéciaux passent alors en revue toutes les données numériques et s'assurent qu'elles sont téléchargées de manière structurée. Si l'hôpital ne paie pas la rançon, elles seront alors facilement publiables.
Une équipe de négociateurs maintient le contact avec l'hôpital. Ce sont eux qui vont indiquer comment le paiement doit être effectué. Ils sont généralement des opérateurs de chat professionnels qui travaillent en équipe et qui peuvent être contactés 24 heures sur 24. Dans certains cas, un véritable service clientèle est à la disposition de la victime. Si le processus est trop lent, les pirates peuvent exercer une pression supplémentaire en menaçant leur cible de publier une partie des données sensibles. Grâce à cette menace imminente, ils espèrent recevoir l'argent de la rançon plus vite.
Les développeurs de ransomware et les pirates informatiques sont ainsi les maîtres du jeu. Leur but est de faire chanter le plus longtemps possible leur cible. Avec les bonnes cartes en main, ils peuvent d’ailleurs harceler un prestataire de soins pendant des années. En moyenne, le pirate obtient les trois quarts du butin et le développeur un quart. À cela, il faudra déduire les coûts pour les autres parties impliquées dans la chaîne du ransomware.
Comment sont exploitées les informations volées ?
Qu'advient-il des dossiers médicaux (ou autres données) qui sont piratés ? Souvent, ces données servent avant tout de moyen de pression sur l'organisation, le citoyen ou le patient concerné. Pour une organisation, le préjudice (de réputation) peut être considérable et un tel incident peut même conduire à la faillite. Pour les citoyens, l'atteinte à leur image peut bien sûr aussi s'appliquer si des données se retrouvent sur le web. La question est de savoir qui est exactement intéressé par votre dossier. Pour les célébrités, un groupe que les pirates ciblent de plus en plus, c'est une autre histoire. Dans un monde où les médias sociaux sont omniprésents, les dommages peuvent vite être préjudiciables.
Les victimes d'une violation de données ne sont pas toujours extorquées. Les pirates informatiques vendent les informations volées directement au plus offrant. L'hiver dernier, un nombre conséquent de données personnelles, comprenant des détails médicaux, de millions de citoyens néerlandais ont été divulguées à partir de deux systèmes corona de GGD. Elles ont été mises en vente via l'application cryptée Telegram. Les acheteurs intéressés ont utilisé ces informations pour commettre une usurpation d'identité ou pour voler des coordonnées bancaires par hameçonnage. Cette forme de cybercriminalité devrait augmenter à mesure que nous utilisons de plus en plus d'applications numériques.
Systèmes informatiques dépendants
Le milieu médical reste le secteur le plus vulnérable en matière d'incidents liés aux données. Pourquoi ? Contrairement au monde de la finance, par exemple, de nombreux prestataires de soins de santé utilisent encore des systèmes obsolètes. Or, de plus en plus d'équipements médicaux sont connectés à Internet sans pare-feux suffisamment compétents. En outre, il existe une réelle dépendance aux matériels et aux outils numériques étrangers. En juillet dernier, le fournisseur américain de logiciels Kaseya a dû faire face à un ransomware sur son logiciel de gestion des TIC. Ce dernier est utilisé par plus de 40 000 entreprises dans le monde. Finalement, seules quelques centaines d'entre elles semblent avoir été victimes. Si les dommages ont donc été limités, cela montre à quel point nous sommes devenus tributaires. Enfin, le milieu médical abrite un vaste choix de données « intéressantes » Les noms et les adresses ne sont bien souvent pas les seuls à être révélés. Vous trouvez aussi des informations médicales qui peuvent potentiellement nuire à la réputation des victimes, les rendant ainsi plus disposées à payer.
Les multiples incidents liés aux ransomwares ont induit une sensibilisation plus forte à la cybersécurité. Cela a aussi conduit à l'émergence d'initiatives nationales visant à sécuriser le secteur des soins de santé en ligne. En 2017, par exemple, la fondation
Z-CERT a été créée aux Pays-Bas. Il s'agit d'une initiative du ministère de la santé, du bien-être et du sport (VWS), de la GGZ, de l'association néerlandaise des hôpitaux (NVZ) et de la fédération néerlandaise des centres médicaux universitaires (NFU). En vertu de la loi sur la sécurité des réseaux et de l'information, ils ont été désignés comme équipe d'intervention en cas d'urgence informatique pour l'ensemble du secteur des soins de santé. Leur mission principale est de rendre le secteur médical plus sûr et d'éloigner les cybercriminels des hôpitaux et autres prestataires de soins de santé. En Belgique, le Computer Emergency Response Team (CERT.be) a été mis en place en tant que service opérationnel. Depuis le centre de coordination de Cybersecurity Belgium (CCB), ils sont responsables de la cybersécurité dans des secteurs vitaux, dont les soins de santé.
Discussion sociale
Avec l’émergence des outils en ligne de plus en plus utilisés par les professionnels médicaux, le risque de cyberattaque ne cesse d’augmenter. Cette menace inévitable suscite un vrai débat social, comme ce fut le cas en Finlande. Beaucoup de personnes affirment qu’elles n’ont rien à cacher ». Toutefois, ce n'est pas cet argument qui freinera les pirates informatiques. N’oublions pas qu’ils vendent des ensembles complets de données médicales au plus offrant. Peu importe le but des acquéreurs : qu'il s'agisse d'extorsion, de phishing ou d'usurpation d'identité, ils cherchent surtout à gagner de l’argent. Et cela a lieu au détriment de la personne dont les données ont été divulguées, mais aussi du prestataire de soins de santé piraté. Ce dernier devra payer le prix pour se refaire une réputation, renforcer sa cybersécurité, mais surtout retrouver la confiance de ses patients.
Pour Vastaamo, malheureusement, il était trop tard. La société a déposé le bilan au début de l'année. Pendant ce temps, les coûts mondiaux de la cybersécurité se chiffrent en milliards. Et force est de constater que nous payons tous la facture ! Ainsi, le moins que nous puissions faire est de mettre à l'ordre du jour le phénomène de la cybersécurité dans le secteur médical.
Laisser un commentaire
Rejoindre la discussion?N’hésitez pas à contribuer !