Quand ils ne sont pas frappés par des ransomwares, les hôpitaux doivent aussi faire face à la menace du vol de données. C’est ce qu’il vient d’arriver à l’AP-HP qui a annoncé hier avoir été victime d’une cyberattaque pendant l’été. Les pirates ont réussi à voler les données de 1,4 millions de personnes. Ces informations portent sur des dépistages Covid réalisés à la mi-2020 et comprennent : l’identité, le numéro de sécurité sociale et les coordonnées des personnes testées, l’identité et les coordonnées des professionnels de santé les prenant en charge, les caractéristiques et le résultat du test réalisé. Comme l’indique Gérôme Billois de Wavestone dans un tweet, il s’agit « des données récentes, de qualité, qui attirent les cybercriminels pour faire de la revente ou des fraudes ».

Dans sa communication, l’AP-HP donne quelques pistes sur la cyberattaque. « Le vol pourrait être lié à une récente faille de sécurité de l’outil numérique de partage de fichiers acquis par l’AP-HP et hébergé sur ses propres infrastructures techniques ». Le nom de la solution n’a pas été communiqué. Nous avons sollicité l’AP-HP sur ce sujet, qui ne souhaite pas communiquer plus. Ce service servait pour la transmission des données des tests réalisés par des laboratoires médicaux à l’Assurance maladie et aux agences régionales de santé (ARS). Il a été utilisé « de manière très ponctuelle » en septembre 2020 en complément du système d’information national de dépistage (SI-DEP). Ce dernier n’est pas concerné par le vol de données.

Plainte et notification aux autorités

Après avoir eu connaissance de l’incident, l’AP-HP l’a signalé à l’Anssi et une notification a été envoyée à la Cnil. Par ailleurs, une plainte a été déposée auprès du procureur de la République de Paris. Reste que cette affaire remet la question de la cybersécurité des établissements de santé au cœur du débat. Elle intervient quelques mois après l’annonce par le président de la République d’un plan national sur la cybersécurité avec un focus sur les hôpitaux.

Au sein de ce plan, il est prévu notamment une augmentation des budgets des établissements de santé. Mais aussi, « « la création d’un observatoire permanent sur la cybersécurité des établissements de santé, la sensibilisation à la cyber dans les formations du personnel de santé, la montée en puissance du service national de cybersurveillance en santé ». Depuis quelques mois, on assiste à une recrudescence des attaques contre les hôpitaux (le CHU d’Arles au mois d’août, mais on peut évoquer aussi l'hôpital d'Oloron Sainte-Marie, celui de Villefranche-sur-Saône, de Saint-Gaudens, le CHU de Rouen et le CH de Dax.