Les cybercriminels ont trouvé une nouvelle mine d’or dans les quantités croissantes de données sanitaires en ligne, et la récente augmentation des attaques montre qu’il existe d’énormes lacunes en matière de sécurité, tant pour les prestataires que pour les patients qui risquent de subir des préjudices.

L’augmentation de l’activité criminelle n’est pas entièrement surprenante. Il convient de prendre en compte la grande quantité de données sanitaires en ligne dans le cadre des efforts mondiaux visant à endiguer la pandémie. La télémédecine remplace de plus en plus la visite traditionnelle au cabinet du médecin. De nombreux hôpitaux dans le monde s’appuient désormais sur des dossiers numériques. Et avec les entreprises qui s’efforcent de développer des applications de recherche de contacts et d’autres applications de suivi de la santé, le volume de données généré est difficile à appréhender.

La menace est si grave que dans une annonce en mai 2020, les responsables de la cybersécurité aux États-Unis et au Royaume-Uni ont averti que les organisations de santé nationales et internationales devraient se préparer à des cyberattaques pendant la crise COVID-19.

Pour mettre en perspective les lacunes en matière de sécurité, une enquête menée par le Ponemon Institute auprès des travailleurs de l’informatique a révélé que 53 % des organismes de santé dans le monde avaient subi une cyberattaque au cours de la seule année 2019, et 75 % en avaient subi une pour la première fois "de leur existence". Plus troublant encore, seul un tiers des personnes interrogées estimait disposer de ressources suffisantes pour faire face à la menace.

Les implications financières de ces attaques sont énormes. Un récent rapport de Radware a estimé que le coût moyen de récupération d’une cyberattaque contre un organisme de santé était de 1,4 million de dollars en 2019. S’il est encore trop tôt pour prédire le coût ou l’impact de ce problème en 2020, on peut affirmer sans risque que la valeur des données relatives aux soins de santé augmentera probablement compte tenu de la crise.

La bonne nouvelle, c’est qu’il existe déjà des équipements de protection numérique pour notre système de santé, et qu’ils peuvent être utilisés par tout le monde.

Le cryptage est une technologie importante qui aide les internautes à garder leurs informations et leurs communications confidentielles et sécurisées, et joue un rôle crucial dans le renforcement de la sécurité personnelle de milliards de personnes chaque jour.

Le cryptage peut aider le secteur des soins de santé à renforcer ses pratiques de sécurité numérique de deux manières. La première consiste à protéger les "données au repos" (par exemple les données stockées sur les serveurs des hôpitaux) en cryptant les données stockées de sorte que même si elles sont piratées, elles seront inutilisables pour celui qui attaque. Les dossiers médicaux numériques sont essentiels pour tout, du traitement des patients au suivi de la propagation du virus dans le monde entier. Depuis des années, les organismes de réglementation nationaux exigent que le cryptage soit utilisé pour tous les dossiers hospitaliers (la HIPAA aux États-Unis en est un exemple). Un cryptage solide est essentiel pour protéger ces dossiers contre les mauvais acteurs.

Le cryptage peut également protéger les "données en mouvement", ce qui est essentiel pour préserver la confidentialité des communications de télémédecine entre les médecins et les patients. Les partisans de la télémédecine préconisent depuis des années un recours accru à la vidéoconférence et à d’autres outils de communication, en particulier pour les communautés rurales où il peut être difficile d’atteindre le cabinet d’un médecin. La pandémie a poussé la demande de ces services à un nouveau niveau.

Le cryptage de bout en bout offre le plus haut niveau de sécurité. Il protège non seulement la communication contre l’interception par de mauvais acteurs, mais empêche également la société fournissant le service de vidéoconférence d’accéder à cette communication. Les deux seules parties qui devraient avoir accès à une session de traitement par télémédecine sont le médecin et le patient.

Mais alors que le cryptage est vital pour l’intégrité du secteur des soins de santé, certains gouvernements tentent de le miner.

Aux États-Unis, par exemple, la loi EARN IT Act menace les entreprises technologiques qui mettent en œuvre des technologies de cryptage puissantes si les forces de l’ordre ne peuvent pas accéder aux données pour traquer le trafic d’exploitation d’enfants. Le problème de cette approche est que le projet de loi tente de résoudre un problème tout en créant un nombre incalculable d’autres.

Ce n’est pas sans raison que la Global Encryption Coalition, lancée le 14 mai par l’Internet Society, s’oppose fermement aux tentatives des gouvernements d’affaiblir le cryptage. L’affaiblissement du cryptage ouvrirait la boîte de Pandore à des activités criminelles potentielles et pourrait avoir des conséquences dévastatrices pour la sécurité personnelle de milliards de personnes et pour les industries qui tentent de naviguer dans une crise sanitaire mondiale. Briser le cryptage, même avec les meilleures intentions, met en danger toutes les infrastructures numériques.

Le moyen le plus efficace de garantir la sécurité de nos informations de santé est de s’assurer que le secteur des soins de santé a un accès sans entrave à l’équipement de protection numérique sur lequel des milliards de personnes comptent déjà pour leurs activités les plus sensibles et les plus importantes en cette période de crise sanitaire mondiale. Cela implique non seulement d’adopter et de préserver des pratiques de cryptage de bout en bout sans compromis, mais aussi d’adopter et de renforcer des politiques de cryptage solides.

Kenneth Olmstead est conseiller principal en matière de sécurité et de protection de la vie privée sur Internet à l’Internet Society. Greg Nojeim est le directeur du projet "Liberté, sécurité et technologie" au Centre pour la démocratie et la technologie