A l'heure où la numérisation des actes médicaux s'accélère, la sécurité des données médicales est capitale. Pour l'heure elle est plutôt perfectible à en croire l'étude menée par la société allemande Greenbone Networks. Celle-ci a mené, entre mi-juillet 2019 et début septembre 2019, une analyse d'environ 2 300 systèmes d'archivage d'images médicales connectés à internet.
400 millions sont accessibles ou facilement téléchargeables
Selon le rapport, publié le 16 septembre, sur les 2 300 systèmes d'archives analysés dans le monde, 590 ont été identifiés comme accessibles sur internet. En tout, ils contiennent plus de 24 millions d'enregistrements de données provenant de patients de 52 pays différents. Plus de 737 millions d'images sont liées à ces données patients, dont environ 400 millions sont accessibles ou facilement téléchargeables sur Internet.
Par ailleurs, 39 systèmes permettent d'accéder aux données des patients via un Web Viewer HTTP non crypté, sans aucune protection.
2,6 millions d'images médicales en France concernées
La France apparaît également dans le rapport puisque les experts de Greenbone Networks ont détecté 7 serveurs médicaux non sécurisés en France. Celles-ci hébergeaient plus de 2,6 millions d'images (2 668 170 précisément) en libre accès dans 47 500 dossiers patients.
Parmi les données ainsi accessibles, il y a les nom et prénom du patient, sa date de naissance, la date d'examen, la portée de l'enquête, le type de procédure d'imagerie, le nom du médecin traitant, celui de l'institut ou de la clinique et le nombre d'images générées.
"La disponibilité en ligne de fichiers à caractère hautement confidentiel démontre que les organisations et les individus n’ont pas pleinement conscience des risques encourus lorsqu’ils hébergent des documents de nature médicale sur des serveurs accessibles depuis Internet. Pour réaliser leur étude, les experts de Greenbone Networks ont utilisé des outils accessibles en ligne de découverte d’équipements connectés. Ils se sont contentés de rechercher les systèmes intégrant le protocole DICOM, un standard technologique basé sur TCP/IP utilisé notamment par les acteurs de la santé pour l’échange de données médicales. Autant dire que ce type de recherche est accessible au plus grand nombre, et qu’une connaissance poussée des systèmes d’information n’est pas nécessaire. Il s’agit donc d’une victoire facile pour des personnes mal intentionnées.", explique Christophe Lambert, directeur Systems Engineering Grands Comptes EMEA chez Cohesity, un spécialiste de la protection des données.