Suite à une attaque, des hackers pourraient avoir volé des données médicales de plus de la moitié de la population norvégienne, selon des informations parues dans la presse locale. L’attaque a eu lieu le 8 janvier et a été révélée cette semaine lorsque Health South-East RHF, une organisation de soins de santé qui gère des hôpitaux dans la région sud-est de la Norvège, a annoncé une faille de sécurité sur son site internet.
L’organisation a déclaré que HelseCERT, la division CERT du pays pour le secteur de la santé, avait identifié un trafic suspect provenant du réseau informatique de Health South-East. Une enquête menée par le personnel informatique de la société Sykehuspartner HF (société mère de Health South East RHF) a révélé des preuves d’une grave violation de données.
« C’est une situation très grave, et des mesures ont été prises pour limiter les dégâts causés par le vol des données. Il y a un dialogue étroit avec les hôpitaux à ce sujet et il n’y a jusqu’à présent aucune preuve que le vol a eu des conséquences sur le traitement des patients, la sécurité des patients ou que les données des patients ont été négligées, mais il est trop tôt pour le conclure. Les meilleures ressources des partenaires hospitaliers travaillent maintenant ensemble avec l’expertise la plus importante dans le pays pour avoir une meilleure vue d’ensemble et résoudre la situation », a déclaré Cathrine Lofthus, chef de la direction de Health South East RHF dans un communiqué.
L’établissement assure que l’événement est géré selon les routines établies de préparation aux situations d’urgence et en collaboration avec HelseCERT et NorCERT (National Security Authority, la division CERT du pays) ainsi que d’autres expertises. Un certain nombre de mesures ont été mises en œuvre pour éliminer la menace et d’autres mesures seront mises en œuvre à l’avenir.
Bien entendu, les forces de l’ordre ont été alertées.
« Nous ne savons pas qui est derrière l’attaque. Il est beaucoup trop tôt pour donner plus d’informations sur ce dont nous avons parlé plus haut », a expliqué Nyvoll Nygaard, conseiller à la PST (Politiets sikkerhetstjeneste – service de sécurité de la police).
Health South-East RHF gère des unités de soins de santé dans neuf des 18 comtés de Norvège. La liste comprend les comtés d’Akershus (y compris Oslo, la capitale de la Norvège), Aust-Agder, Buskerud, Hedmark, Oppland, Østfold, Telemark, Vest-Agder et Vestfold.
Selon la presse locale, Health South-East RHF est la plus grande des quatre régions sanitaires de Norvège avec des hôpitaux desservant 2,9 millions de la population totale du pays de 5,2 millions d’habitants.
« Un certain nombre de mesures ont été mises en œuvre pour éliminer la menace, et d’autres mesures seront mises en œuvre à l’avenir », a déclaré le ministère norvégien de la Santé et des Soins dans un communiqué. Et de poursuivre en disant que « Lorsque nous savons qu’il y a une activité continue vers nos systèmes, il est important que tous les employés du service de santé suivent les conseils qui s’appliquent à l’utilisation des TIC dans le service. »
Les autorités enquêtent toujours sur l’incident afin de déterminer l’ampleur de la violation, mais la presse locale craint que le « trafic suspect » détecté par HelseCERT n’ait été provoqué par le piratage des données des patients. Néanmoins, les autorités avancent que « Jusqu’à présent, rien n’indique que les acteurs malveillants ont réussi à casser des données dans les autres régions sanitaires. Il n’y a également aucune indication que le service de santé municipal est affecté. »
À l’automne 2016, Health South-East RHF a signé un contrat avec Hewlett Packard Enterprise pour moderniser ses systèmes informatiques, mais le contrat a été abandonné après que la presse locale a révélé des contrôles de sécurité médiocres lors de l’accès aux informations sur les patients.
« Nous ne voyons aucun lien entre cette attaque et ce projet », a avancé Cathrine Lofthus, PDG de Health South-East RHF, dans un journal norvégien.
Les chercheurs norvégiens en sécurité se sont montrés très critiques à l’égard de Health South-East RHF, dont les hauts responsables ont conseillé aux utilisateurs de se détendre, car leurs données étaient en sécurité avant même d’avoir terminé l’enquête. Beaucoup craignent que le piratage soit bien pire que ce que l’organisation laisse croire.
La fuite est encore loin de ce qui s’est passé en Suède, où un entrepreneur du gouvernement a divulgué les données personnelles de tous les citoyens du pays. La personne responsable a été condamnée en juillet dernier à une amende équivalente à la moitié de son salaire mensuel (la moitié de 70 000 couronnes suédoises, c’est-à-dire la moitié de 7 114 euros).
Pour rappel, la fuite s’est produite en septembre 2015, lorsque l’Agence suédoise des transports (AST) a décidé d’externaliser la gestion de sa base de données et d’autres services informatiques à des entreprises telles qu’IBM en République tchèque et NCR en Serbie. La totalité de la base de données de AST a été téléchargée sur des serveurs cloud appartenant à ces deux sociétés, et certains employés ont eu un accès total à la base de données, la Suède ayant renvoyé ses techniciens informatiques.
Ce n’est qu’en mars 2016 que les services secrets suédois ont réalisé ce qui s’était passé et ont ouvert une enquête pour avertir les autres agences gouvernementales que des étrangers non autorisés contrôlaient désormais leurs systèmes informatiques après que l’AST a manqué de faire les contrôles de sécurité nécessaires pour accélérer la transition vers le nouveau système informatique, étant donné que l’AST voulait licencier le personnel informatique local.
La directrice générale de l’AST, Maria Ågren, a démissionné et les autorités l’ont inculpée en 2016. Au début du mois de juillet 2017, un tribunal suédois l’a reconnue coupable de négligence, mais la peine prononcée a été jugée ridicule aux yeux de nombreux citoyens.
Les données comprenaient :
- les données de tous les permis de conduire en Suède ;
- les données personnelles de toutes les personnes participant au programme de réinstallation des témoins en Suède ;
- les données personnelles des unités militaires d’élite suédoises ;
- les détails personnels des pilotes de chasse de la Suède ;
- les données personnelles de tous les pilotes et contrôleurs aériens suédois ;
- les données personnelles de tous les citoyens suédois dans un registre de police ;
- les détails de tous les véhicules gouvernementaux et militaires suédois ;
- les détails sur les infrastructures routières et de transport de la Suède.