Pourquoi les hôpitaux US sont dans la ligne de mire des hackers

Des tarifs élevés et l’absence d’un système de santé centralisé font des hôpitaux américains une cible de choix. L’attaque dont a été victime le groupe Community Health en témoigne. Les données personnelles de 4,5 millions de patients sont dans la nature.

Les données personnelles de 4,5 millions de patients de Community Health Systems (CHS), un groupe hospitalier privé américain gérant 206 établissements dans 29 états, ont été exposées lors d’une cyber-attaque menée au printemps par des hackers présumés chinois. Rendue publique le 18 août dans un document réglementaire du groupe de Franklin (Tennessee), cette attaque témoigne de l’intérêt renouvelé des pirates pour les hôpitaux américains.

Déjà 150 incidents en 2014

Le vol de données patients de Community Health est le plus important recensé jusqu’ici par l’administration américaine. Le précédent record était détenu par le Département de santé publique du Montana. Révélée en juin, cette affaire concernait les données d’un million de personnes… Ces deux structures sont loin d’être les seules ciblées. En 2013, les informations de santé de 24 800 Américains auraient été exposées chaque jour, selon les estimations de Stephen Cobb, chercheur au sein de l’éditeur de solutions de sécurité ESET.

Cette année, près de 150 incidents relatifs à la perte ou au vol de données ont déjà été rapportés par des établissements hospitaliers américains au Département de la santé et des services sociaux US, selon le magazine CIO. Community Health Systems, une entreprise du classement Fortune 500 cotée à la Bourse de New York, rejoint la liste. Le groupe a indiqué que l’identité, la date de naissance, les coordonnées et les numéros de sécurité sociale de patients reçus ces cinq dernières années par des médecins affiliés ont été volés. En revanche, les données de santé ne seraient pas concernées.

Un dossier médical qui rapporte

Les tarifs exorbitants d’hôpitaux et l’absence d’un système de santé centralisé font des États-Unis une cible très lucrative pour les hackers. Les données de patients pris en charge outre-Atlantique pouvant s’échanger à vil prix sur certains marchés parallèles. D’après John Halamka, DSI de l’hôpital BIDMC de Boston et président du consortium New England Healthcare Exchange Network (NEHEN) interrogé par CIO, des personnes ne disposant pas d’une assurance santé pourraient acheter ces données et usurper l’identité de leur titulaire dans l’espoir d’obtenir un traitement. Le DSI estime qu’un dossier médical peut être vendu entre 50 et 250 dollars sur le marché noir, soit bien plus que le montant habituellement demandé pour un numéro de carte bancaire, un nom d’utilisateur ou un mot de passe.

Multitude de réseaux dédiés

La loi américaine surnommée « Obamacare » (Affordable Care Act) a réduit le nombre de personnes sans assurance-maladie aux États-Unis (moins de 50 millions aujourd’hui), mais de nombreux citoyens ne disposent toujours pas d’une assurance suffisante pour accéder à certains soins. Par ailleurs, la multitude de réseaux dédiés à la santé et systèmes d’assurance rend la réponse aux cyber-attaques et l’identification de leurs auteurs plus difficiles. Le groupe à l’origine de l’attaque contre CHS a été nommé « APT 18 » par Mandiant, une filiale de FireEye chargée d’étudier le dossier. « APT 18 » s’intéresserait à d’autres secteurs clés, dont l’aérospatiale et la défense, les technologies et les services financiers.

crédit photo © Brian A Jackson – Shutterstock


Lire aussi

Radar IT : Healthcare.gov…

Sécurité : piratés, les magasins Target font face à une kyrielle de procès