Les données médicales font certainement parti de celles les plus sensibles et personnelles. Pour autant, ce sont loin d'être les plus sécurisées et à l'abri des cyberpirates, d'après une étude de l'éditeur en solutions de sécurité allemand Greenbone. Il a ainsi constaté entre septembre et novembre 2019 une hausse considérable (60%) du nombre d'images médicales issues d'examens de santé (IRM, scanner...) exposées sur des serveurs insuffisamment sécurisés. Dans le même temps, le nombre de personnes potentiellement concernées par ce risque est passé de 24 à 35 millions pour un total d'1,19 milliard d'images exposées, dont environ la moitié rien qu'aux Etats-Unis.
« Cela semble empirer chaque jour », a indiqué Dirk Schrader, qui a dirigé la recherche chez Greenbone Networks et surveille le nombre de serveurs exposés depuis l'année dernière. « La quantité de données exposées continue d'augmenter, même si l'on considère celles mises hors ligne en raison de nos découvertes ».
Un manque de prise de conscience
Ce n'est pas le fait que le nombre d'images médicales à risque appartenant à des individus augmente qui inquiète. Mais également - surtout ? - un manque d'action pour protéger efficacement cette montagne de données personnelles. En dépit d'une alerte de Greenbone, qui a contacté plus d'une centaine d'entreprises le trimestre dernier, aucune parmi les plus grandes n'a réagi, ce qui n'est pas le cas des plus petites qui ont pris des mesures pour sécuriser leurs serveurs. D'après l'éditeur, c'est Northeast Radiology qui détient le triste record du nombre de données médicales exposées aux US, avec 61 millions d'images concernant 1,2 million de patients.
« Ces serveurs non protégés exposent non seulement l'imagerie médicale mais également les informations de santé personnelles des patients. De nombreux scans de patients comprennent des pages de garde intégrées au fichier DICOM, y compris le nom du patient, sa date de naissance et des informations sensibles sur leurs diagnostics. Dans certains cas, les hôpitaux utilisent le numéro de sécurité sociale d'un patient pour identifier les patients dans ces systèmes, a précisé Techrunch.
Commentaire