"Il reste en santé comme dans d'autres secteurs beaucoup à faire pour sécuriser les données sensibles", affirme Jean-Pierre Heymans dont la société, Heymans consulting, est spécialisée dans le domaine de la protection des données à caractère personnel. Actif dans le cybercrime et le cyberdélit depuis 2000, tant pour le secteur privé que public, ce "cyber-détective" estime que le domaine médical et de la santé devient de plus en plus sensible.
L'Union européenne a été alertée par les dangers relatifs au cybercrime, rassure Jean-Pierre Heymans. Une directive de mai 2016 oblige désormais les entreprises et les services publics à mettre en place des contrôles de sécurité, notamment un service d'encryption des données et un listing des personnes ayant accès aux données sensibles, dont médicales. Des sanctions lourdes sont prévues, jusque 20 millions d'euros. A partir de mai 2018, la Commission (belge) Vie privée sera, en tant que régulateur, habilitée à décider du sort des sociétés trop distraites.
Avertir le régulateur
"Les fuites de données d'importance, cela arrive de plus en plus. La SNCB en a fait les frais récemment." Or les services publics possèdent des données financières de leurs clients exploitables pour des sociétés commerciales. En cas de piraterie, l'institution attaquée est en principe tenue d'en avertir le régulateur et de proposer des contre-mesures. Ce n'est pas encore une obligation légale. Le délai de notification est en principe de maximum 48 heures après le constat de la fuite de données. La notification à la Commission vie privée se fait par le biais d'un formulaire sécurisé, qui doit être envoyé via l'application ad hoc disponible sur le site de la Commission (www.privacycommission.be).
Dans les soins de santé, il manque une certaine maturité face à ces dangers, affirme Jean-Pierre Heymans. "Les transferts entre hôpitaux ou avec les acteurs de santé se font encore trop souvent sous forme de supports qui sont transmis de la main à la main." Les virus les plus redoutables sont les "encrypteurs": pires que les hameçonneurs, ils pénètrent dans les systèmes et font des copies des fichiers puis se retirent. Leurs auteurs font alors chanter l'institution. En février dernier, le Hollywood Presbyterian Medical Center situé dans le centre chic de Los Angeles, a été victime d'un programme malveillant bloquant le réseau informatique pendant une dizaine de jours. Les données médicales de 900 patients ont également été dérobées. La direction a payé 15.000 euros de rançon en... bitcoins, pour récupérer ses données! Pendant près de dix jours, l'hôpital a refusé de payer et enjoint le personnel à tout noter sur papier. Une situation intenable puisque de la connexion dépendent tous les appareils type scans et RMN. Quatre autres hôpitaux ont été piratés de la sorte dans la région.
Dispositifs de toute taille
Si ce type de chantage n'est pas arrivé à l'oreille de la presse en Belgique, le piratage ne s'arrête pas là. Jean-Pierre Heymans a été chargé d'une mission d'audit d'un important fabricant d'IRM et de scanners qui avait été piraté. Les hackers s'intéressent en effet aux dispositifs médicaux de toute taille, notamment les appareils de mesure que portent les patients. Tous les systèmes interconnectés de taille diverse comme les RMN, les smartphones et les appareils de mesure (tension, pouls, diabète) sont piratables, mais aussi les systèmes de télésurveillance (caméras, etc.) et de contrôle à distance qui sont vulnérables.
Les hackers sont généralement très jeunes et se vivent comme des héros mais pas leurs commanditaires, qui sont nettement moins idéalistes. Les premiers veulent "s'amuser", détruire ou poursuivent des buts idéologiques.
En matière énergétique, "un hacker peut paralyser tout une région avec une attaque bien ciblée, ce qui impactera les services de soins. Pour rendre les hôpitaux inopérants, il est possible de saturer le réseau en provoquant un trafic supplémentaire qui paralysera l'institution. Les Centres hospitaliers universitaires sont davantage visés car possédant plus d'appareils sensibles et utilisant plus la digitalisation. Les serveurs centraux et les clouds sont également dans le collimateur des pirates".
En outre, les assureurs santé privés qui archivent les questionnaires médicaux sont plus fragiles que les banques, ces dernières ayant pris diverses dispositions suite aux fuites organisées par des informaticiens indélicats.
Pour autant, M. Heymans n'imagine pas pour l'heure une attaque terroriste type Zaventem et, conjointement, des complices hackant les institutions hospitalières pour créer un chaos encore plus grand...
Dossier complet dans votre édition papier de vendredi.
L'Union européenne a été alertée par les dangers relatifs au cybercrime, rassure Jean-Pierre Heymans. Une directive de mai 2016 oblige désormais les entreprises et les services publics à mettre en place des contrôles de sécurité, notamment un service d'encryption des données et un listing des personnes ayant accès aux données sensibles, dont médicales. Des sanctions lourdes sont prévues, jusque 20 millions d'euros. A partir de mai 2018, la Commission (belge) Vie privée sera, en tant que régulateur, habilitée à décider du sort des sociétés trop distraites. "Les fuites de données d'importance, cela arrive de plus en plus. La SNCB en a fait les frais récemment." Or les services publics possèdent des données financières de leurs clients exploitables pour des sociétés commerciales. En cas de piraterie, l'institution attaquée est en principe tenue d'en avertir le régulateur et de proposer des contre-mesures. Ce n'est pas encore une obligation légale. Le délai de notification est en principe de maximum 48 heures après le constat de la fuite de données. La notification à la Commission vie privée se fait par le biais d'un formulaire sécurisé, qui doit être envoyé via l'application ad hoc disponible sur le site de la Commission (www.privacycommission.be).Dans les soins de santé, il manque une certaine maturité face à ces dangers, affirme Jean-Pierre Heymans. "Les transferts entre hôpitaux ou avec les acteurs de santé se font encore trop souvent sous forme de supports qui sont transmis de la main à la main." Les virus les plus redoutables sont les "encrypteurs": pires que les hameçonneurs, ils pénètrent dans les systèmes et font des copies des fichiers puis se retirent. Leurs auteurs font alors chanter l'institution. En février dernier, le Hollywood Presbyterian Medical Center situé dans le centre chic de Los Angeles, a été victime d'un programme malveillant bloquant le réseau informatique pendant une dizaine de jours. Les données médicales de 900 patients ont également été dérobées. La direction a payé 15.000 euros de rançon en... bitcoins, pour récupérer ses données! Pendant près de dix jours, l'hôpital a refusé de payer et enjoint le personnel à tout noter sur papier. Une situation intenable puisque de la connexion dépendent tous les appareils type scans et RMN. Quatre autres hôpitaux ont été piratés de la sorte dans la région.Si ce type de chantage n'est pas arrivé à l'oreille de la presse en Belgique, le piratage ne s'arrête pas là. Jean-Pierre Heymans a été chargé d'une mission d'audit d'un important fabricant d'IRM et de scanners qui avait été piraté. Les hackers s'intéressent en effet aux dispositifs médicaux de toute taille, notamment les appareils de mesure que portent les patients. Tous les systèmes interconnectés de taille diverse comme les RMN, les smartphones et les appareils de mesure (tension, pouls, diabète) sont piratables, mais aussi les systèmes de télésurveillance (caméras, etc.) et de contrôle à distance qui sont vulnérables. Les hackers sont généralement très jeunes et se vivent comme des héros mais pas leurs commanditaires, qui sont nettement moins idéalistes. Les premiers veulent "s'amuser", détruire ou poursuivent des buts idéologiques. En matière énergétique, "un hacker peut paralyser tout une région avec une attaque bien ciblée, ce qui impactera les services de soins. Pour rendre les hôpitaux inopérants, il est possible de saturer le réseau en provoquant un trafic supplémentaire qui paralysera l'institution. Les Centres hospitaliers universitaires sont davantage visés car possédant plus d'appareils sensibles et utilisant plus la digitalisation. Les serveurs centraux et les clouds sont également dans le collimateur des pirates". En outre, les assureurs santé privés qui archivent les questionnaires médicaux sont plus fragiles que les banques, ces dernières ayant pris diverses dispositions suite aux fuites organisées par des informaticiens indélicats.Pour autant, M. Heymans n'imagine pas pour l'heure une attaque terroriste type Zaventem et, conjointement, des complices hackant les institutions hospitalières pour créer un chaos encore plus grand...Dossier complet dans votre édition papier de vendredi.
