Santé et sécurité des données, les enjeux de Star Health
Imaginez un instant que vos dossiers médicaux les plus intimes - résultats d'analyses, historique des traitements, pathologies - se retrouvent soudainement exposés au grand jour sur Internet, à la merci des cybercriminels. C'est le cauchemar qui est devenu réalité pour des millions de clients de Star Health, l'un des plus grands assureurs santé indiens, suite à un piratage massif de ses bases de données.
Une cyberattaque d'ampleur aux lourdes conséquences
Début octobre, un groupe de hackers affirme avoir mis la main sur les dossiers de plus de 31 millions d'assurés Star Health, incluant leurs noms, numéros de téléphone, adresses, ainsi que des rapports médicaux détaillés et historiques de remboursements. Pour « prouver » leur forfait, ils rendent publics via des bots Telegram des extraits de ces données extrêmement sensibles.
Après deux semaines de silence radio, Star Health finit par reconnaître avoir subi « une cyberattaque malveillante » ayant conduit à « un accès non autorisé et illégal à certaines données ». Une enquête approfondie est en cours, menée par des experts en cybersécurité indépendants, en coopération avec les autorités indiennes compétentes en matière d'assurance et de sécurité informatique.
Qui est derrière cette violation massive ?
Les circonstances exactes de ce piratage de grande ampleur demeurent encore floues à ce stade. S'agit-il de l'œuvre de cybercriminels extérieurs particulièrement sophistiqués ou d'une faille interne, voire d'une complicité ? Le RSSI (Responsable de la Sécurité des Systèmes d'Information) de Star Health, dont des échanges avec les pirates ont fuité, est présenté comme coopérant à l'enquête. Aucun élément tangible ne permet à ce jour de l'incriminer selon l'assureur.
La protection des données personnelles et médicales des citoyens doit être une priorité absolue. Ce piratage démontre la nécessité de renforcer d'urgence la cybersécurité des acteurs de santé.
Ashwini Vaishnaw, Ministre indien des Technologies de l'Information
De la confidentialité des patients à la confiance ébranlée
Au-delà de potentielles utilisations frauduleuses (usurpation d'identité médicale, chantage...), c'est le droit fondamental des individus au respect de leur vie privée qui est bafoué. Des informations à caractère personnel parmi les plus confidentielles - comme les pathologies ou traitements suivis - se retrouvent à la portée de tous, sans le consentement des intéressés. De quoi profondément ébranler la confiance des assurés indiens envers les organismes gérant leurs données de santé.
Cette affaire illustre cruellement les risques pesant sur des bases de données aussi critiques et centralisées dans un monde de plus en plus connecté. Elle soulève des questions de responsabilité pour les entreprises, de cadre légal et de contrôle par les autorités. Comment s'assurer que de telles violations massives ne se reproduisent plus ?
Vers un durcissement des normes de cybersécurité
Ce piratage sans précédent en Inde devrait accélérer la prise de conscience et le renforcement des exigences en matière de sécurité des systèmes d'information dans le secteur de l'assurance et de la santé :
- Audits et certifications réguliers des infrastructures et processus de protection des données sensibles
- Tests d'intrusion et simulations de cyberattaques pour identifier les vulnérabilités
- Formations et sensibilisation de l'ensemble des collaborateurs aux bonnes pratiques de cyberhygiène
- Chiffrement et cloisonnement des bases de données pour limiter les fuites massives en cas de brèche
- Procédures claires de notification des personnes affectées et des autorités lors d'incidents
Gageons que le régulateur indien CERT-In, déjà saisi, saura tirer les leçons de ce cas d'école pour imposer de nouveaux standards. Car en matière de sécurité des données de santé, la prévention vaudra toujours mieux que la guérison.
