De nombreuses cyberattaques sont survenues cette année, visant particulièrement les données de santé des citoyens français. La Cnil prévoit une augmentation de 100% de ces cas en 2021.
La Cnil s’attend à un doublement des cas de violations de données personnelles en 2021, a-t-elle indiqué au lendemain d’une nouvelle affaire de vols de données de santé, survenue à l’AP-HP le 15 septembre dernier.
La législation européenne oblige depuis 2018 les entreprises ou institutions qui traitent des données personnelles à signaler à la Cnil ou ses homologues tout problème concernant ces données: perte, vol, altérations…
Ces signalements avaient augmenté de 24% en 2020 par rapport à 2019, et la Cnil « prévoit une augmentation de 100% sur l’année 2021 », a indiqué jeudi un représentant à l’AFP.
La dématérialisation a ouvert la porte aux vols
« L’accélération de la dématérialisation et de la numérisation avec la pandémie a ouvert de nombreuses opportunités pour les personnes malveillantes, et il est essentiel de respecter » les recommandations de la Cnil et de l’Anssi (gardienne de la sécurité informatique française), a-t-il ajouté.
Le secteur de la santé est particulièrement touché par les vols de données personnelles. En 2020, les affaires de vols de données sur la santé avaient déjà augmenté de 80%, selon la Cnil.
Mardi, les Hôpitaux de Paris (AP-HP) ont annoncé que les données personnelles de 1,4 million de personnes avaient été dérobées à la suite d’une attaque informatique.
Les données incluent notamment l’identité, le numéro de sécurité sociale et les coordonnées des personnes testées, ainsi que les caractéristiques et le résultat du test réalisé, selon l’AP-HP.
Une recrudescence des vols de données
Plusieurs autres affaires de fuites importantes de données de santé ont été révélées en 2021.
Début septembre, Mediapart a dévoilé que les résultats de tests Covid de centaines de milliers de personnes étaient accessibles en ligne sur le site de Francetest, une société qui transférait des résultats de tests réalisés en pharmacie vers la plateforme gouvernementale SI-DEP.
En février, le blog spécialisé en cybersécurité Zataz et Libération avaient alerté sur la circulation sur internet d’un fichier contenant des données de 500.000 personnes, y compris des données médicales comme des résultats de test ou des informations sur des pathologies.
Rançongiciel dans les hôpitaux
Les informations semblaient venir de fuites de données d’au moins 28 laboratoires d’analyse médicale clients de l’éditeur de logiciel Dedalus France.
Les hôpitaux ont également subi une vague d’attaque au rançongiciel, qui s’accompagnent souvent de pertes ou de vol de données personnelles.
Pour prévenir les vols de ce type de données, la Cnil recommande d' »avoir des personnes formées aux risques », de « recourir au chiffrement des données lors des transferts », et de « mettre à jour les composants logiciels et réaliser une veille sur les vulnérabilités » pour éviter leur exploitation.