Dans un autre article, j’ai pu exprimer l’inquiétude partagée par de très nombreux psychologues de nous voir prochainement contraints de stocker et partager sur une plate-forme certaines informations liées à nos consultations psychologiques. Plusieurs indices pointent malheureusement en ce sens (lire l'article sur le sujet).
L’idée pour les psychologues de se retrouver emmenés dans un système qui nous obligerait à partager certaines infos que vous nous aurez communiquées est intrinsèquement problématique. Mais l’idée de les partager avec certains que ça regarde encore moins que les autres fait froid dans le dos.
Vous l'avez déjà compris. Je veux ici évoquer le risque non nul de piratage. Car autant le dire d’entrée de jeu, la sécurité informatique absolue n’existe pas ; comme dans toute autre activité humaine d’ailleurs. Dans l'aérospatiale, le nucléaire, l'aviation... des accidents graves arrivent parfois même dans les secteurs les plus pointus et bardés de normes ISO.
J'insiste directement aussi: les serveurs de l’INAMI sont hautement sécurisés. On doit être au plus haut qu’il soit possible de faire. L’INAMI déclare d’ailleurs sur son site que la norme internationale ISO 27001 certifie leur système de gestion de la sécurité informatique. Pour en savoir plus sur cette norme et sa signification, cliquez ici.
L’idée n’est pas donc que vos données médicales sont actuellement gérées n’importe comment ni qu’elles sont en grave danger immédiat. Ces données sont gérées par des personnes ultra-compétentes. Par contre, simplement, aussi sécurisé que soit le système, le risque zéro n’existe pas. Un jour peut-être cela tombera entre de mauvaises mains.
Pirater des données médicales ?
Vous ne le saviez peut-être pas, mais des données médicales se revendent très cher sur le darkweb. Bien plus cher que des données bancaires! Entre 50 et 250 eur par dossier selon France Info, expliquant dans cet article que ces données peuvent, par exemple, être très intéressantes pour des banquiers ou des assureurs. L'Express monte quant à lui les enchères à 350 eur. On parle du prix par dossier donc ! D'après le site Silicon, un pirate informatique prétendait ainsi en 2016 disposer de 10 millions de dossiers médicaux d'une valeur de 1 million de dollars. Je les cite: Le plus fourni comprend 9,3 millions de dossiers d’assurance-maladie de patients américains. Il est en vente pour 750 bitcoins, soit environ près de 500 000 euros.
Il est parfaitement logique de se dire que, comme pour l'argent, c'est la concentration de très nombreux dossiers médicaux au même endroit qui va attirer la convoitise des gros braqueurs informatiques.
Si l'image d'illustration de l'article vous présente l'image d'Epinal du hacker geek solitaire, les hackers peuvent également être des Etats. Certains Etats (je ne citerai personne mais vous pouvez ici aussi vous référer à l'article de France Info) emploient des centaines ou peut-être des milliers de leurs meilleur·e·s ingénieur·e·s en informatique et mettent de très gros moyens techniques pour que ceux-ci parviennent à entrer dans les systèmes informatiques de leurs ennemis. C'est un enjeu stratégique et militaire majeur comme dans le contexte de la cyberguerre qui se déroule actuellement entre la Russie et l'Ukraine. Les données de santé représentant des sources d'informations précieuses sur l'état de santé d'une population mais bien évidemment aussi un moyen de tout déstabiliser dans un pays donné.
Quelques exemples récents
Le Monde du 3 octobre 2017 nous informe ainsi aux Etats-Unis du piratage de l'agence d'analyse de crédit Equifax qui s'est fait pirater rien moins que 145,5 millions de dossiers contenant des données médicales confidentielles (il s'agissait de données d'enquêtes liées à l'obtention de crédit). La Chine a été identifiée comme la source de ce piratage (RTL France, 11 février 2020).
Février 2021, France Info ou Les Echos relaient le piratage de 500.000 dossiers médicaux ultra-confidentiels de Français dans une trentaine de laboratoires médicaux français. Jusqu'à 60 informations différentes disponibles pour chaque personne ! Tumeur au cerveau, Positif HIV... tout est téléchargeable sur le darkweb!
Il y a quelques mois, en février 2024, ce sont cette fois 33 millions de Français qui se sont faits pirater de très officielles données de sécurité sociale. Cela fait 1 Français sur 2 (lire par exemple France Info ou Le Point). 33 millions de données médicales piratées il y a quelques mois chez nos voisins français par des pirates qui se sont servis sur une plate-forme.
Vous pouvez également effectuer une recherche sur Google (par exemple) avec les mots-clés "Hôpitaux piratés" et vous serez surpris des résultats renvoyés par le moteur de recherche.
Mais je terminerai la liste non-exhaustive de ces (quelques) exemples avec un exemple qui nous touche particulièrement puisqu'il s'agit du piratage en 2018, en Finlande, des contenus d'entretiens psychothérapeutiques par définition hautement intimes de milliers de patients finlandais qui ont par ailleurs subi du chantage de la part des hackers (Le Monde, 27 octobre 2020). Le site Clubic, outre l'arrestation du pirate et sa condamnation à 6 ans et 3 mois de prison, évoque le chiffre de 20.000 dossiers piratés.
En conclusion
Le tout-au-cloud c'est génial. C'est super pratique. Il faut vivre avec son temps.
Ces affirmations creuses entendues, je tenais surtout à vous expliquer pourquoi je me sens extrêmement mal à l'aise avec l'idée que les représentants politiques belges sont probablement (mais j'espère me tromper) en train de construire pour les psychologues l'obligation de stocker des données intimes, "mentales", non-médicales pour la plupart sur une plate-forme de stockage et de partage.
Cette plate-forme (ce "serveur") de stockage, si elle doit être obligatoirement utilisée "par défaut" par les psychologues, va donc amener les psychologues à stocker progressivement ce qui constituera très rapidement des millions de données intimes et personnelles issues du nombre incalculable de rendez-vous psychologiques durant lesquels les patients belges viennent parler à leurs psychologues de leurs problèmes personnels.
En aucun cas ces données ne peuvent être considérées comme 100% à l'abri d'un piratage.
