Le CyberPeace Institute a publié une version bêta du Cyber Incident Tracer (CIT) #HEALTH, plate-forme unique qui comble le manque d’information sur les cyberattaques contre le secteur de la santé et leurs conséquences pour les populations. Savoir et comprendre ce qui se passe est la première étape pour qui veut agir pour un changement mondial.

Les cyberattaques perturbent la prestation de soins de santé, compromettent des données médicales sensibles et ont des répercussions sur les patients, les professionnels de la santé, ainsi que les établissements et les organisations de ce secteur. La plate-forme CIT #HEALTH permet une compréhension fondée sur des données et des faits des conséquences des cyberattaques menées contre le secteur de la santé.

CIT #HEALTH contient des données sur plus de 230 cyberattaques menées contre le secteur de la santé dans plus de 33 pays. Même si la plate-forme ne montre qu’une fraction de ces attaques par rapport à leur ampleur, elle fournit un indicateur important de la tendance négative croissante et de ses répercussions sur l’accès à des soins essentiels. Les incidents relevés depuis juin 2020 vont d’attaques perturbatrices, par exemple au moyen de rançongiciels, à des violations de données, y compris à la compromission de comptes.

Pays inclus dans l’analyse de données : Afrique du Sud, Allemagne, Australie, Autriche, Belgique, Brésil, Canada, Chine (République populaire de), Colombie, Émirats arabes unis, Espagne, États-Unis d’Amérique, Fédération de Russie, France, Grèce, Inde, Irlande, Israël, Italie, Japon, Jordanie, Mexique, Nouvelle-Zélande, Pologne, Portugal, République de Corée, République tchèque, Roumanie, Royaume-Uni, Singapour, Suisse, Thaïlande et Turquie.

En tout, 69 % des pays pour lesquels CIT #HEALTH a enregistré des attaques contre des organismes de santé classent la santé parmi leurs « infrastructures essentielles ». Au moins 47 % des pays pour lesquels CIT #HEALTH a enregistré des attaques contre des organismes de santé ont instauré l’obligation de signaler les cyberattaques contre les infrastructures essentielles et les entités gouvernementales et/ou les clients dont les données ont été violées.

En plus d’enregistrer où et quand les attaques ont eu lieu, la plate-forme examine leur déroulement et l’ampleur de leurs conséquences pour les populations et les organisations. Dans les données analysées jusqu’ici, plus de 14 millions de dossiers ont été compromis – ils contenaient des données médicales, des numéros de sécurité sociale, des coordonnées, des détails sur des donneurs médicaux, des diagnostics, la sérologie VIH, des renseignements financiers, des données d’entreprise, de l’imagerie médicale, des cartes d’identité et des données sur la fécondité de patientes. Dans les incidents ciblant des services de soins aux patients (sauf les laboratoires), au moins 14 % ont amené à rediriger des patients vers d’autres établissements médicaux et 19 %, à annuler des rendez-vous.

Jusqu’à présent, il n’existe pas de plate-forme mondiale de données exhaustives sur les conséquences des cyberattaques contre le secteur de la santé, et la communication parcellaire des données ne montre pas l’ampleur du problème. « Ce que l’on sait des cyberattaques contre le secteur de la santé vient de l’analyse de ce que les cyberattaquants eux-mêmes ont choisi de rendre public. Les données communiquées par ces criminels ne devraient pas être les principaux éléments d’information sur lesquels s’appuie l’élaboration des politiques, déclare Stéphane Duguin, directeur exécutif du CyberPeace Institute. Les victimes ne devraient pas apprendre par les criminels que leurs données ont été volées. »

Le CyberPeace Institute a créé le Cyber Incident Tracer (CIT) #HEALTH afin de saisir la réalité des cyberattaques contre le secteur de la santé et, partant, contre les populations.

Malgré de nombreuses promesses, l’attention de l’ONU et, dans certains cas, des investissements financiers dans le secteur de la santé, celui-ci reste la cible de cyberattaques au nez et à la barbe des dirigeants mondiaux. Le CyberPeace Institute insiste sur la nécessité d’une responsabilisation fondée sur des données probantes en documentant les tendances des cyberattaques contre le secteur de la santé par l’intermédiaire de la plate-forme CIT #HEALTH.

« Les preuves des conséquences des cyberattaques menées contre le secteur de la santé peuvent aider les décideurs à comprendre l’importance des investissements dans la cybersécurité. La plate-forme aidera à cerner et à comprendre quelles mesures ou omissions ont causé un incident ou y ont contribué et, donc, à garantir une responsabilité et une responsabilisation actives dans le cyberespace. Au fond, elle favorisera la paix dans le cyberespace en recentrant l’attention publique sur les coûts humains des attaques et sur leurs conséquences pour les collectivités et les victimes », souligne Klara Jordan, Directrice des affaires publiques et gouvernementales, CyberPeace Institute.

Tant que nous ne comprendrons pas l’impact sociétal des cyberattaques contre le secteur de la santé, l’accent continuera d’être mis sur la sécurité nationale, la politique étrangère et les finances – plutôt que sur les conséquences humaines –, ce qui mènera à des politiques qui ne produiront pas un cyberespace sûr et stable. L’Institut publie à présent la version bêta afin de souligner davantage encore l’urgence et de réitérer l’Appel aux gouvernements afin de faire cesser les cyberattaques contre le secteur de la santé et de mettre en lumière les principaux aspects à propos desquels d’autres mesures peuvent être prises afin de mieux protéger ce secteur. L’Institut a également cerné plusieurs domaines de collaboration possible afin de renforcer la plate-forme et de la développer encore.

Un changement de paradigme s’impose pour garantir la tranquillité du secteur de la santé dans le cyberespace. Le CyberPeace Institute a pour mission de relever les défis mondiaux de la paix dans le cyberespace. En 2020, nous avons lancé le programme Cyber4Healthcare afin d’aider les professionnels de la santé à analyser les attaques et à proposer des politiques pour protéger le secteur. Nous avons notamment coordonné un Appel aux gouvernements visant à promouvoir le cyberespace dans le secteur, tout en lui apportant un soutien opérationnel direct. Depuis cet appel lancé en mai 2020, l’Institut s’emploie à analyser la menace pour le secteur de la santé, à soutenir les professionnels de la santé et à faire activement campagne pour des solutions collectives. En mars 2021, l’Institut a publié un nouveau rapport intitulé Nos vies en péril : pirater la santé, c’est attaquer les personnes qui porte sur les conséquences des cyberattaques pour les personnes et pour la société. Ses auteurs se sont notamment attachés à documenter les attaques et à analyser leur impact humain et sociétal. Le Cyber Incident Tracer (CIT) #HEALTH marque l’étape suivante dans cette démarche.