Après la fuite d'un fichier comportant les données médicales sensibles de 500 000 personnes, dont plus de 300 000 bretons, une entreprise spécialisée rennaise met en ligne un outil pour savoir si vous êtes concerné. Des spécialistes voous expliquent que faire le cas échéant.
Yves Duchesne, ingénieur en cybersécurité et patron de l'entreprise rennaise Acceis, a mis en ligne un outil qui permet de savoir si vous êtes concerné par la fuite massive de données médicales sensibles qui a touché une trentaine de laboratoires bretons dernièrement.
En rentrant votre numéro de sécurité sociale dans l'unique champ de recherche du site fuitededonneesdesante.acceis.fr, vous saurez simplement si vous figurez dans ce fichier qui a fuité et s'est retrouvé, en "libre accès", sur des canaux de discussion spécialisés du "darknet".
Précision de l'entreprise spécialisée en cybersécurité Acceis, le serveur "ne contient pas les informations personnelles, ni les données de santé relatives à la fuite de données. Seuls des condensants cryptographiques (SHA-256) sont utilisés, permettant de confirmer/infirmer la présence d'une identité dans la fuite de données."
Que faire si l'on est concerné ?
Le spécialiste Yves Duchesnes réagissait mercredi sur notre site internet à cette fuite sans précédent de données médicales sensibles, pour laquelle le Parquet de Paris a déclenché une enquête ce jeudi.
Si l'on est est concerné par cette fuite de donnée, il est possible que l'on soit contacté par une personne qui vous propose de ne pas divulguer ces informations, moyennant une rançon. Possible, car c'est c'est l'un des modes opératoires des pirates.
Le patron de l'entreprise de cybersécurité a pu le constater plusieurs fois, "l'une des manières de monétiser le hacking, c’est la rançon, d’où le terme "rançongiciel" qui sont les virus qui s’attaquent aux systèmes d’information, qui lui paralysent".
"On a déjà eu le cas par le passé pour une clinique médico-psychologique dont les enregistrements de séance avait été récupérés par un hackeur, qui avait fait pression sur les patients en menaçant de divulguer le contenu des échanges, et de réclamer une rançon pour ne pas le faire" raconte Yves Duchesne.
Rien n'indique que ce sera le cas cette fois-çi, mais le cas échéant, le conseil d'Yves Duchesne est de prévenir la gendarmerie, et de le déclarer sur le site du gouvernement dédié à la cybermalveillance: https://www.cybermalveillance.gouv.fr/.
"Vous pourrez porter plainte au pénal", explique benjamin Vialle, chef de service RH, santé et affaires publiques à la CNIL, "et d’intenter ensuite une action en réparation du préjudice pour divulgation de leurs données à caractère personnel, y compris le caractère sensible de certaines données."
Autre action possible selon la Commission Nationale Informatique et Liberté, "exercer un droit d’accès aux informations les concernant auprès des laboratoires" poursuite Benjamin Vialle.
La santé, un secteur encore vulnérable
Qu'il s'agisse d'une intrusion malveillante ou d'une erreur d'un salarié, le fond du problème reste le même : "les hôpitaux, comme les laboratoires, n'ont pas forcément un expert en cybersécurité dans leurs rangs. Un labo n'a pas la capacité de dire si le logiciel qui lui permet de gérer les données médicales est sécurisé ou pas. Il se fie aussi à ce qu'on lui vend."
La santé, un domaine où la cybersécurité est en construction
La sécurité informatique du secteur de la santé, cible de multiples attaques ces derniers temps, "car les données médicales se vendent bien", est ainsi en contruction depuis plusieurs années, avec une prise en compte de l'importance de se protéger.
