Au cours de l’été 2020, les pirates ont réussi à voler les données de 1,4 million de personnes qui ont passé les tests Covid. Suite à cette attaque, la Cnil a déposé une plainte. La cyberattaque ne touche pas uniquement les collectivités, les administrations et les entreprises. Les hôpitaux ont également été victimes alors qu’ils sont déjà dépassés par le ransomware. Découvrons les faits et les mesures prises.
Le déroulement de l’attaque
Les pirates ont dérobé des données confidentielles sur les personnes ayant été testées au Covid. Ces informations incluent leurs identités, leurs coordonnées professionnelles de santé, les numéros de sécurité sociale, les caractéristiques et le résultat du test. Les pirates se sont servis de ces données volées pour exiger des rançons ou créer de faux dossiers qu’ils ont mis en vente.
Cette attaque est due à une faille de sécurité de l’AP-HP et un outil hébergé sur ses infrastructures techniques. Il servait à transférer les résultats des tests réalisés depuis les laboratoires médicaux vers les agences régionales de santé et l’assurance maladie.
Les attaques contre les hôpitaux, dont le CH de Dax, le CHU de Rouen, d’Arles, de Saint-Gaudens, de Villefranche-sur-Saône et l’hôpital d’Oloron Sainte-Marie, ont augmenté durant quelques mois.
Mesures prises
Après avoir constaté le vol de données, l’AP-HP l’a signalé à l’ANSSI et la Cnil. Par la suite, une plainte a été déposée auprès du procureur de la République de Paris. Cette attaque s’est déroulée quelque temps après l’annonce du président sur la lutte contre la cyberattaque, en se focalisant sur les hôpitaux. Elle remet ainsi en question la cybersécurité des hôpitaux. Or, le plan faisait état de la sensibilisation au cyber dans les formations du personnel de santé, la création d’un observatoire sur la cybersécurité des établissements de santé. Le discours mentionnait également le renforcement du service national en cybersécurité en santé.
Les solutions avancées par la Cnil
La Cnil, ou Commission nationale de l’informatique et des libertés, accompagne les entreprises dans la gestion de la protection de données. Elle possède différents outils avec 5 niveaux de maturité et adaptés à différents types d’activité. Chacun de ces différents niveaux de maturité catégorise la façon dont une entreprise conçoit, réalise, vérifie, maintient et assure le suivi d’une activité. Côté activité, il existe 8 types d’activité liés à la protection des données. Ils consistent à piloter leur gouvernance, les définir et les mettre en œuvre, tenir à jour la liste des traitements et la recenser. Puis, il faut former et sensibiliser, assurer la conformité des traitements, gérer les violations et les risques de sécurité, traiter les demandes internes et externes.
En termes de bonne conduite, une entreprise se doit d’avoir des procédures et des politiques à jour. Côté sensibilisation, elle doit programmer des sessions d’information et des formations sur les nouvelles technologies régulières. Par ailleurs, il est important d’établir un bilan des violations pour mettre en œuvre les mesures adaptées destinées à optimiser la sécurité, après l’identification du problème.
