Alors que les cybercriminels ciblent de plus en plus les établissements de santé, les dossiers médicaux volés et exposés peuvent rendre les patients vulnérables aux escroqueries et même entraîner le vol d’identité.
Quelque 66 % des organisations de santé ont été touchées par des ransomwares l’année dernière, contre 34 % en 2020, selon une récente enquête de Sophos , une société de logiciels ou de matériel basée au Royaume-Uni. Un autre rapport a conclu que les cyberattaques contre les établissements de santé avaient augmenté “à un rythme alarmant”.
Jonathan Lee, directeur des relations avec le secteur public chez Sophos, affirme que les attaques contre les établissements de santé sont motivées par des raisons financières car les données des patients sont confidentielles et peuvent donc être efficacement monétisées.
Bien que les pirates informatiques recherchent un gain financier, ils peuvent également mettre la vie des patients en danger, selon certaines études.
Que deviennent les dossiers médicaux volés ?
Lee dit que les cybercriminels mènent souvent des doubles attaques d’extorsion en cryptant les données sur le réseau de l’organisation et en exigeant une rançon, ainsi qu’en publiant les données des patients sur le dark web. Par exemple, lorsque le Health Service Executive (HSE) irlandais a été touché par une cyberattaque en mai dernier, les données de 520 patients ont été divulguées en ligne.
“Tout dépend du pouvoir des données personnellement identifiables et de ce que les cybercriminels peuvent en faire, c’est-à-dire essayer de forcer les gens à payer”, a déclaré Lee à Healthnews .
Les informations divulguées sur les patients peuvent être obtenues et utilisées par des escrocs. Lorsque les données de 9,7 millions de clients de Medibank, l’un des plus grands assureurs privés australiens, ont été volées, la société a refusé de payer la rançon.
Suite au refus, les pirates ont publié les données sur les réclamations de santé, les noms, les adresses, les dates de naissance et les numéros d’identification du gouvernement des clients. Ils ont même exposé un dossier d’interruptions de grossesse.
L’ancien champion de tennis australien Todd Woodbridge a déclaré qu’il avait également été victime de cette violation de données, car des escrocs l’appelaient et exigeaient de payer les factures de l’hôpital où il séjournait auparavant.
Eric Dodds, responsable du marketing produit chez RudderStack, une plate-forme de données client open source, affirme que la perte de données de santé est extrêmement grave car les pirates peuvent utiliser ces informations sensibles pour susciter une réaction émotionnelle.
« Supposons que vous attendiez un diagnostic et que vous receviez un e-mail faisant allusion à cela, cela pourrait avoir des conséquences catastrophiques pour quelqu’un qui est déjà probablement en détresse émotionnelle », a-t-il déclaré dans le blog de l’entreprise .
Selon Experian, une société d’analyse de données et d’évaluation du crédit à la consommation, le vol de vos données médicales peut entraîner un vol d’identité.
La société explique que lorsqu’une personne obtient vos informations personnelles et d’assurance maladie, elle peut obtenir une procédure médicale ou un test en votre nom, utiliser les informations pour acheter des médicaments sur ordonnance et du matériel médical, ou faire des réclamations d’assurance frauduleuses.
“Celles-ci peuvent conduire à la tâche coûteuse et chronophage de prouver que vous avez été victime d’une fraude et de réparer vos antécédents financiers, de crédit, de santé et éventuellement criminels” , écrit la société sur son blog .
Quelle est la valeur des données des patients ?
En 2017, Experian a estimé que les dossiers médicaux complets d’une personne pouvaient coûter jusqu’à 1 000 dollars sur le dark web.
Lorsqu’on lui a demandé si le prix restait le même, Lee de Sopho a déclaré à Healthnews qu’il ne pouvait pas donner de chiffre exact, mais l’information est toujours très précieuse. Il dit que les recherches précédentes de Sophos ont révélé que de nombreuses personnes pourraient ne pas être pleinement conscientes que les données des patients exposées ne sont “pas seulement un inconvénient”.
Et les attaques contre le HSE irlandais ou la Medibank australienne ne sont que quelques exemples de cybercriminels accédant à des millions d’enregistrements de données sensibles.
À ce jour, la plus grande violation de données médicales a touché la compagnie d’assurance Anthem Inc. désormais reconnu comme Elevance Health, selon la récente analyse RudderStack. Lors de l’intrusion de 2015, qui a touché 78,8 millions de personnes, les pirates ont obtenu des numéros de sécurité sociale et des numéros d’identification de santé Anthem, entre autres données sensibles.
En août, Keystone Health, fournisseur de services de santé basé en Pennsylvanie, a été victime d’ une violation de données au cours de laquelle les informations des patients ont été exposées. Certains fichiers contenaient des informations sur les patients, notamment des noms, des numéros de sécurité sociale et des informations cliniques.
Les dommages sont-ils uniquement financiers ?
Alors que les cybercriminels ont des motivations financières, leurs attaques, intentionnelles ou non, peuvent avoir des effets néfastes sur la santé des patients. Une étude de 2020 décrit les données de santé comme “plus sensibles que d’autres types de données” car leur violation peut entraîner un traitement défectueux, entraînant “des pertes fatales et irréversibles pour les patients”.
Une étude de 2019 de l’Université Cornell suggère que les taux de mortalité hospitalière augmentent suite aux violations.
Une analyse a révélé que les attaques WannaCry de 2017 contre le National Health Service (NHS) d’Angleterre ont entraîné 1 100 admissions aux urgences (ED) de moins et 2 200 admissions électives de moins dans les hôpitaux infectés. De plus, 13 500 rendez-vous ont été annulés en raison de l’attentat. L’impact financier de l’attaque s’est élevé à 7,09 millions de dollars.
Que dois-je faire si mes données sont exposées ?
Lee dit que les organisations qui détiennent les données des patients ont le devoir de les protéger.
“Il s’agit avant tout de s’empêcher d’être violés et de ne pas penser qu’il est inévitable que des données soient perdues”, a-t-il déclaré à Healthnews .
Mais si vous êtes victime d’une perte de données, Lee recommande de changer les mots de passe de vos comptes, de ne pas utiliser le même mot de passe sur différents sites et d’éviter les mots de passe faciles à deviner, comme le nom de jeune fille de votre mère. Des recherches récentes révèlent que les gens utilisent souvent des termes médicaux dans leurs mots de passe, ce qui les rend faciles à deviner.
“Utilisez l’authentification multifacteur, qui vous permet d’avoir un autre moyen, sans mot de passe, d’accéder à votre compte”, a-t-il déclaré.
Selon Lee, vous pouvez être proactif dans la protection de vos données en tant que patient ou citoyen. Néanmoins, les organisations doivent s’assurer que leurs clients ne se retrouveraient pas dans une position où leurs données seraient divulguées.
“Les propriétaires de données de santé doivent être judicieux à la fois dans leur collecte et dans la protection des informations sensibles. Les conséquences financières et personnelles pourraient être catastrophiques si elles tombaient entre de mauvaises mains”, a déclaré RudderStack’s Dodds.
