Les révélations de Damien Bancal, expert en cybercriminalité et cybersécurité, ont établi que pas moins de 491 840 fichiers médicaux dans une base de données étaient en ligne. Ainsi, des milliers de données sensibles (numéro de sécurité sociale, adresse, mot de passe, maladie, …) et jusqu’à 70 informations différentes sur une même personne, se sont retrouvées accessibles gratuitement. Les manquements aux obligations de sécurité des établissements de santé ont eu de nombreuses conséquences.
- Manquements de notification des laboratoires
Les établissements de santé traitent les données personnelles sensibles de leurs patients et à ce titre, ont des obligations spécifiques de sécurité. Ces obligations sont communes à tous les OIV (Opérateurs d’importance vitale). Lors d’attaques, les organismes victimes doivent alerter la Commission nationale de l’informatique et des libertés et s’il existe un risque de préjudice aux droits et libertés des individus (atteinte à la vie privée par exemple), ils doivent informer individuellement les personnes dont les données ont été volées.
Dès lors qu’ils prennent connaissance de la compromission de leur système d’information, ils ont un délai de 72h pour en informer la CNIL.
En l’espèce, ni la CNIL et ni les personnes concernées par la fuite de données n’avaient été alertées par les organismes de santé. L’enquête déterminera s’ils ont découvert que leur sécurité avait été compromise en même temps que les victimes, ou s’ils avaient caché ladite fuite. Dans le second cas, les organismes (qui s’avèreraient être des laboratoires) s’exposeraient à des sanctions infligées par la CNIL, pouvant aller jusqu’à 4% du chiffre d’affaires ou 20 millions d’euros en cas de non-respect des droits fondamentaux ou droits des personnes.
- Comment savoir si vous êtes concernés par cette fuite de données ?
Les organismes qui ont subi la cyberattaque ont l’obligation d’informer les personnes que leurs données ont été dérobées. La CNIL vérifiera, par ailleurs, que toutes les personnes concernées ont bien été informées. En revanche, elle déconseille d’aller sur des sites qui se multiplient, proposant de vérifier si des données vous concernant sont en ligne.
Si tel est le cas, vous pouvez vous rendre sur la plateforme cybermalveillance, afin de vous faire orienter et conseiller par des professionnels de la cybersécurité. Il est également recommandé de déposer plainte afin de prévenir une éventuelle usurpation d’identité.
Concernant le site hébergeur de ces données, la CNIL a saisi le tribunal judiciaire afin de demander au fournisseur d’accès à Internet de bloquer le site Internet. Depuis le 4 mars, ce site est donc bloqué, et la propagation de ces données vient d’être limitée.
- Plan de 1 milliard d’euros pour la cybersécurité
Dans le contexte de crise sanitaire, les hôpitaux qui étaient (et le sont toujours dans certaines régions) déjà surchargés et sous pression par les victimes du coronavirus, la charge et pression s’est accentuée avec des cyber-attaques et tentatives d’attaques. Certaines ont abouti, ce qui a mené au constat que les organismes ne sont clairement pas à la hauteur du défi de la cybersécurité. Emmanuel Macron a présenté le 18 février 2021 un plan à 1 milliard d’euros visant à pallier les lacunes des structures publiques et privées, d’ici 2025.
En effet, si les cyberattaques peuvent paralyser le secteur de la santé (11% des cyber-attaques en 2020), elles n’en sont pas moins nombreuses à s’orienter vers le secteur de l’industrie (15%), les collectivités territoriales (20%) et les autres secteurs d’activité (39%).
Ce plan visera donc principalement à investir dans la prévention des cybermenaces, mais aussi dans la formation, le recrutement et l’innovation afin de s’en prémunir. Enfin, un des objectifs clés serait d’atteindre les 25 milliards d’euros de chiffre d’affaires pour la filière en 2025, contre 7,3 milliards en 2019. La France pourrait ainsi se positionner sur le devant de la scène internationale et devenir un référentiel en matière de cybersécurité.
Margot Demi
Promotion Cyberjustice 2020/2021
Sources :
Pan Cybersécurité (Sécurité de système d’information)
Saisine de la CNIL pour bloquer un site hébergeur de données sensibles (CNIL)
Article diffusant la fuite des données sensibles (Libération)