Vous êtes dans : Accueil > Tribunes libres >

Fuites de données : rien de tel pour se remettre en question

Charles Blanc-Rolin, DIMANCHE 10 JUILLET 2016

L’actualité brûlante a de quoi nous faire réfléchir sur la sécurité en place au sein de nos SIH.

Depuis l’affaire « Panama Papers » qui a secoué les acteurs de la finance (et bien d’autres), les fuites de données sont de plus en plus présentes dans l’actualité.

Elles peuvent avoir des conséquences diverses, mais parfois catastrophiques, en particulier lorsqu’il s’agit de données sensibles, telles que les données de santé.

Au mois de mai dernier est ressortie une base de données contenant de nombreux accès LinkedIn des suites d’une fuite de données qui remontait à 2012. Même si les utilisateurs du réseau social professionnel ont été dans l’obligation de changer leur mot de passe depuis, si, comme de nombreux Internautes, vous utilisez le même mot de passe sur différents sites, vous risquez de voir vos différents comptes sur le Web piratés. (Si vous l’avez raté : Mot de passe : technique et bon sens indissociables)

Mark Zuckerberg, le patron de Facebook, en a fait les frais car il utilisait le même mot de passe sur son compte Twitter.

Le patron de Facebook voit son compte Twitter piraté à la suite de la fuite de données LinkedIn : c’est tout de même un comble !

Voir sa réputation numérique entachée n’est à première vue pas la conséquence la plus grave d’une fuite de données, bien que cela puisse être parfois très embarrassant. 

Mi-juin, c’est le Centre hospitalier Princesse-Grace à Monaco qui a vu les données personnelles de ses salariés s’évaporer vers quelque 500 destinataires par le biais de la messagerie électronique ! 

Le mois de juin s’est clôturé « en beauté » avec la publication sur le Cloud de Google des données personnelles de 112 000 policiers français et de leur famille à cause d’un acte malveillant d’un employé mécontent de la Mutuelle générale de la police, ce qui pourrait avoir des conséquences désastreuses étant donné l’atmosphère ambiante du moment.

Pour en revenir au secteur de la santé, un cybercriminel connu sous le pseudonyme « Thedarkoverlord », profitant de vulnérabilités sur les systèmes d’information de plusieurs établissements de santé, a mis en vente sur le réseau TOR [1] plusieurs bases de données contenant les dossiers médicaux de nombreux patients américains, dont une contenant les dossiers de plus de 9 millions de patients pour la modique somme de 750 bitcoins [2] (soit environ 450 000 euros), ce qui devrait faire le bonheur d’une banque ou d’une compagnie d’assurances. 

Pour finir de nous rassurer, une récente étude de sécurité réalisée par Vanson Bourne pour EMC, leader mondial du stockage informatique, montre une hausse de 13 % des entreprises ayant subi des fuites de données au cours des 12 derniers mois. Je vous laisse imaginer s’il fallait ajouter à cela le nombre d’entreprises qui ont pu se dispenser d’annoncer qu’elles avaient été victimes de fuites et celles qui ne sont même pas au courant que leurs données sont déjà dans la nature.

Pour reprendre une citation de Cédric Cartau, référence française des RSSI du secteur de la santé et auteur de talent : « La culture de la sécurité doit être introduite dans toutes les couches de l’organigramme. »

Que nous soyons membre de la DSI [3], administratif, secrétaire médicale, soignant ou bien directeur général, tous ces événements doivent nous amener à réfléchir. À adopter de meilleures pratiques afin d’améliorer la sécurité des données des patients qui nous accordent leur confiance. 

[1] TOR (The Onion Router) est un réseau informatique décentralisé utilisant le réseau Internet mondial. Son système de routage dit « en oignon » permet d’anonymiser l’origine des connexions.

[2] Le bitcoin est une monnaie virtuelle dont le cours fluctue, s’appuyant sur un mécanisme de chiffrement. Le système d’échange public pair à pair vérifiant les transactions, appelé « blockchain » permet un fonctionnement sans autorité centrale. 

[3] Direction des systèmes d’information.

#sécurité#sih