Par
Guillemette Songy, Privacy Officer chez Adequacy.
Le secteur de la
e-santé traverse une crise majeure avec l'intrusion massive subie par Cegedim
Santé, mettant en péril les données personnelles de près de 15 millions de
patients français. Alors que le dossier médical est devenu la cible prioritaire
des cybercriminels sur le dark web, cette faille souligne la fragilité des
infrastructures numériques médicales. Cette analyse décrypte les mécanismes de
l'attaque, les risques de la chaîne d'approvisionnement (supply chain risk) et
les mesures concrètes de protection à déployer pour restaurer la confiance
entre praticiens et patients.
Cegedim Santé, acteur
majeur de la gestion médicale en France, traverse une zone de turbulences sans
précédent. Une intrusion massive met en péril les données de près de 15
millions de patients. Si le dossier médical est devenu le Graal des
cybercriminels, c’est qu'il touche à ce que nous avons de plus intime et de
plus immuable. Analyse d'une faille qui ne fragilise pas seulement des
serveurs, mais le lien sacré de confiance entre médecins et patients.
Le secret médical
n’appartient plus seulement au colloque singulier entre un praticien et son
patient. Aujourd'hui, il repose sur des infrastructures numériques complexes.
Et quand ces infrastructures vacillent, c'est l'intimité de millions de
Français qui s'étale sur les marchés noirs du web.
Analyse d'une intrusion
massive
L'alerte a été donnée
par le groupe criminel DumpSec, qui revendique l'exfiltration de 19 millions de
lignes de données issues des systèmes de Cegedim Santé. Le butin est
vertigineux : noms, adresses, numéros de téléphone, numéros de sécurité sociale
et informations liées aux parcours de soins.
Si la direction de
Cegedim a tenté de rassurer en évoquant une intrusion limitée via des comptes
de professionnels de santé compromis, l'ampleur des revendications des
attaquants est alarmante. Pourquoi un tel acharnement ? La réponse est
mathématique : sur le dark web, une donnée de santé se négocie jusqu'à 40 fois
plus cher qu'un simple numéro de carte bancaire. Contrairement à une carte
bleue que l'on fait rapidement mettre en opposition, une pathologie, une
allergie ou un historique de soins sont des données permanentes. Elles
permettent des escroqueries par ingénierie sociale d'une précision chirurgicale
sur plusieurs années.
Sécurité de la supply
chain santé : le risque lié aux prestataires tiers
Cette crise met en
lumière une réalité souvent occultée : le risque de la chaîne
d'approvisionnement ou supply chain risk. Cegedim n'est pas votre médecin,
c'est son prestataire. Les praticiens, pharmaciens et cliniques délèguent la
gestion de leurs dossiers à ces géants technologiques.
Le paradoxe est cruel : un cabinet médical
peut investir dans une porte blindée et des classeurs sous clé, si son logiciel
de gestion présente une vulnérabilité, le sanctuaire est violé à distance.
Cette attaque rappelle que la sécurité d'un professionnel de santé est désormais
indexée sur celle de ses outils numériques. La responsabilité est partagée,
mais l'impact est subi par le patient.
Cybersécurité et
résilience : comment protéger les données de santé
Face à cette menace,
l'immobilisme est une faute. La résilience doit s'organiser à deux niveaux
distincts.
Sécuriser les accès des
professionnels : authentification MFA et AIPD
L'heure n'est plus à la
sensibilisation, mais à l'application de protocoles de sécurité stricts :
• L'authentification multi-facteurs (MFA) : c'est le rempart
principal. Un mot de passe volé par hameçonnage ne doit jamais suffire à ouvrir
l'accès à une base patients.
• L'analyse d'impact (AIPD) : trop souvent perçue
comme une contrainte administrative, l'AIPD est en réalité une boussole. Elle
permet de mesurer les risques avant de déployer un outil et de définir des
mesures de protection proportionnées
• Conseils de protection pour les patients : vigilance face au
phishing chirurgical
Si vous faites partie
des millions de victimes potentielles, votre identité numérique est une cible :
• Méfiance absolue face aux faux conseillers : les hackers utilisent
vos données réelles pour vous appeler en connaissant votre nom ou votre
mutuelle. Ne donnez jamais d'informations sensibles ou de codes SMS par
téléphone
• Surveillance active des prélèvements : un RIB volé permet de
mettre en place des mandats de prélèvement frauduleux. Surveillez vos relevés
bancaires chaque semaine
La donnée comme une
responsabilité éthique
Les fuites de l'UNSS et
de Cegedim délivrent un message identique à tous les acteurs du numérique : la
protection des données n'est pas une option technique ou une ligne budgétaire.
C’est une éthique de responsabilité.
Qu'il s'agisse des photos d'identité de nos enfants ou du compte-rendu d'une hospitalisation, ces informations sont des morceaux de nos vies. Pour les entreprises de la e-santé, la confiance se bâtit sur des décennies mais peut s'évaporer en quelques millisecondes.