Les Hôpitaux de Paris ont été victimes d'une large attaque qui a permis à des pirates informatiques de récolter les données de 1,4 million de personnes, dont leur numéro de sécurité sociale. Qui pourraient récupérer ces données et comment peuvent-elles être utilisées?
L'AP-HP a expliqué dans un communiqué avoir été la victime d'une large attaque informatique. 1,4 million de personnes, qui avaient fait un dépistage de la Covid-19 en Île-de-France mi-2020 pourraient être concernées. Les données volées "incluent l’identité, le numéro de sécurité sociale et les coordonnées des personnes testées, l’identité et les coordonnées des professionnels de santé les prenant en charge, les caractéristiques et le résultat du test réalisé. Aucune autre donnée médicale que celles strictement liées à la réalisation du test n’est concernée", expliquent les Hôpitaux de Paris par communiqué.
Trois questions à Guillaume Vassault-Houlière, président et fondateur de YesWeHack, une plateforme qui fédère une communauté de hackers éthiques dans le monde, spécialisée dans la recherche de failles informatiques et présente dans 50 pays.
Le vol de données à l'AP-HP est-il important ?
Énormément de données ont été volées avec des informations personnelles. Le gros problème est que le numéro de sécurité sociale est donné à vie, on ne peut le changer. Couplé à des données d'identité, des personnes malveillantes pourraient s'en servir pour faire de faux papiers. Qui est derrière ? Aujourd'hui, on ne peut pas le déterminer exactement, c'est un peu trop tôt. Cela peut être quelqu'un d'opportuniste. Il semble que ce soit une faille connue du service numérique qui n'a pas été corrigée. C'est de la donnée intéressante même si elle n'est pas si volumineuse que cela. Mais cela peut être intéressant combiné avec d'autres bases de données. Ce que l'on peut voir, c'est qu'avec l'accélération de la numérisation de l'écosystème, le système de santé est une cible intéressante pour les personnes malveillantes qui vont revendre ces données puisque l'on sait tous que ces institutions sont mal ou peu sécurisées.
Les institutions n'ont pas les compétences pour se protéger ?
Les institutions sont en train de s'armer et cela va s'accélérer avec le plan d'investissements puisque 1,5 milliard sont alloués à la sécurité réseau. A l'AP-HP, ce n'est pas leur cœur de métier. Ces institutions manquent de moyens et n'investissent pas assez dans la cyber sécurité. De plus, avec la conjoncture actuelle, nous transférons beaucoup de données pour le contact tracing, qui sont partagées entre plusieurs institutions. Il y a eu quatre fois plus d'attaques en 2021 par rapport à l'année d'avant. Partant de là, il faut s'armer contre les personnes malveillantes qui vont utiliser ce contexte et augmenter leurs profits. Mais il existe un écosystème français qui est là pour aider.
Que préconisez-vous pour améliorer la sécurité des institutions ?
Il y a certains efforts qui sont possibles. Par exemple, il y a un catalogue accessible aux mairies qui permet de centraliser la commande publique. L'idée est de ne pas sécuriser chaque mairie mais plutôt les logiciels qu'ils utilisent. À l'image de ce qu'il se fait aux États-Unis, il faudrait avoir une garantie des outils qui sont proposés à nos institutions. Pour beaucoup d'institutions, ce n'est pas leur métier, ils n'ont peut-être même pas les ressources en interne pour gérer ce genre de projet. Il faut donc responsabiliser les éditeurs qui vendent des logiciels à toutes nos institutions, cela permet aussi de rationner les coûts. Par ailleurs, tout le monde est acteur de la cyber sécurité. Il ne faut pas cliquer partout, suivre les indications du responsable informatique. Tout un tas de chose qui commencent à rentrer dans les mœurs, il faut se l'appliquer au niveau professionnel et personnel.