Alors que l’administration Trump met en place un nouveau système de suivi privé audacieux pour les données de santé des Américains, les risques de cybersécurité augmentent, et ils font écho à certaines des violations les plus perturbatrices au monde, de l’attaque du NHS WannaCry au piratage de SingHealth à Singapour.

Jurgita Lapienytė, rédactrice en chef de Cybernews, a écrit un commentaire opportun dans lequel elle dissèque comment cette initiative tentaculaire pourrait devenir la prochaine violation massive de données de santé aux États-Unis.

Compte tenu des enjeux – des millions de dossiers de patients exposés chaque année, malgré la HIPAA et d’autres réglementations – l’histoire nécessite une attention urgente du point de vue de la cybersécurité et de la confidentialité.

Rendre les données de santé à nouveau grandes (et vulnérables) : comment le plan de suivi privé de Trump met en péril l’avenir de la confidentialité médicale.

Par Jurgita Lapienytė

La volonté du président Trump de mettre en place un système national de suivi des données de santé géré par le secteur privé, présenté comme un saut dans le domaine du bien-être basé sur l’IA, arrive à un moment où la numérisation des soins de santé est confrontée à un barrage incessant de cybercriminels dans le monde entier.

Alors que l’Amérique flirte avec l’exploitation de l’influence des Big Tech pour la santé publique, les fantômes des crises de cybersécurité à l’étranger offrent un miroir qui donne à réfléchir. En vérité, ce qui est proposé fait écho, et parfois exagère, aux erreurs et aux leçons manquées de ses pairs mondiaux – et les conséquences pourraient être horribles.

Apprendre des systèmes piratés : le Royaume-Uni, Singapour et le coût de la commodité.

Prenez le National Health Service (NHS) du Royaume-Uni une bonne leçon sur l’ambition et la vulnérabilité. Le NHS, longtemps considéré comme un pionnier de l’informatique de santé, a subi un coup dur lors de l’attaque par ransomware WannaCry en 2017, qui a paralysé les hôpitaux, retardé les traitements et révélé à quel point l’infrastructure de santé numérique était obsolète et fragmentée.

Même aujourd’hui, la cybersécurité du NHS reste un patchwork, en proie à une culture de contournement du personnel – pensez aux données des patients transmises sur WhatsApp ou aux notes cliniques sur les appareils personnels synchronisées avec des clouds privés. Malgré des stratégies nationales expansives, l’interopérabilité se fait au prix de nouvelles surfaces d’attaque, et la réglementation ne peut pas colmater toutes les failles de l’informatique existante.

L’Asie offre une autre leçon avec la violation très médiatisée de SingHealth à Singapour en 2018, où des pirates informatiques ont exfiltré les données de santé de 1,5 million de citoyens, dont le Premier ministre. Cet incident a forcé une réponse réglementaire : la loi sur la cybersécurité de Singapour impose désormais des contrôles stricts et inflige des amendes de plusieurs millions de dollars en cas de défaillance. Pourtant, même après ces mises à niveau, les soins de santé restent une cible tentante, car les attaques de ransomware régionales balaient des millions d’enregistrements et les données médicales volées refont souvent surface pendant des années.

Le contexte américain : le volume au détriment de la vigilance.

Aux États-Unis, les violations du secteur de la santé touchent régulièrement des millions de personnes : les ransomwares, le phishing et les défaillances de sous-traitants tiers sont endémiques. En juin, le Business Digital Index a révélé que 79 % des 100 plus grands hôpitaux et systèmes de santé américains ont obtenu un score de D ou pire pour leurs efforts de cybersécurité, et que 65 % ont récemment subi des violations de données.

En 2024, le nombre d’enregistrements compromis a grimpé à plus de 276 millions, en grande partie en raison de l’attaque de ransomware sans précédent de Change Healthcare, qui a touché à elle seule environ 190 millions de personnes.

Les bases de données de santé centralisées, qu’elles soient gérées par le gouvernement ou le secteur privé, augmentent les risques : une fois piratés, les attaquants obtiennent tout, des antécédents médicaux aux adresses et aux numéros de sécurité sociale. De manière cruciale, le « consentement du patient » est trop souvent une coche unique plutôt qu’une garantie vivante et exécutoire.

La cybersécurité : pas seulement une question technique, mais une crise de gouvernance.

L’expérience mondiale montre une dure vérité : la complexité technologique et les lacunes réglementaires créent des vulnérabilités que ni l’intention ni l’investissement ne peuvent facilement surmonter. Le motif répété est remarquable :

• Les infrastructures vieillissantes, les solutions de contournement ad hoc et les politiques de sécurité comblées par les lacunes abondent, des CD par taxi au Royaume-Uni pour le transfert de données aux tablettes synchronisées dans le cloud dans les hôpitaux.
• Le RGPD en Europe, les lois de Singapour et les règles HIPAA aux États-Unis ont tous connu des difficultés en raison de la détermination des initiés, des pirates intelligents et de la lenteur de l’action gouvernementale.
• Aujourd’hui, la plupart des violations majeures impliquent soit des accidents internes, soit un contrôle insuffisant des sous-traitants externes, dont l’hygiène de sécurité est largement négligée.

Vers un avenir réaliste en matière de données de santé.

La vision de l’administration Trump promet commodité et contrôle, mais la réalité, dans un contexte mondial, est qu’en l’absence d’une conception à toute épreuve de la protection de la vie privée, de limites exécutoires, d’audits proactifs et d’une gouvernance tout au long du cycle de vie, ces initiatives sont moins un bond en avant qu’une invitation ouverte à la catastrophe.

Si les États-Unis veulent éviter de se joindre à l’appel des pays victimes de violations, ils doivent se pencher non seulement sur une politique de haut niveau, mais aussi sur des pratiques de terrain : minimiser la collecte de données, utiliser des modèles de sécurité Zero Trust, garantir un opt-in ou un opt-out transparent et, surtout, embaucher des experts en cybersécurité ayant le pouvoir de passer outre les impératifs commerciaux et politiques.

L’optimisme technique et un débat vigoureux sont essentiels, mais une foi aveugle dans la commodité numérique est une stratégie vouée à l’échec. Le véritable test de la technologie de la santé n’est pas l’élégance de l’application, mais l’impitoyable et implacable du système pour défendre la dernière ligne : la vie privée et la dignité de chaque patient, partout.

À PROPOS DE L’AUTEUR.

Jurgita Lapienytė est rédactrice en chef de Cybernews, où elle dirige une équipe de journalistes et d’experts en sécurité qui se consacrent à la découverte des cybermenaces par le biais de recherches, de tests et de reportages basés sur des données. Avec une carrière qui s’étend sur plus de 15 ans, elle a couvert des événements mondiaux majeurs, notamment la crise financière de 2008 et les attentats terroristes de Paris en 2015, et a favorisé la transparence par le biais du journalisme d’investigation. Ardente défenseure de la sensibilisation à la cybersécurité et des femmes dans le secteur de la technologie, Jurgita a interviewé des personnalités de premier plan dans le domaine de la cybersécurité et amplifie les voix sous-représentées dans l’industrie. Reconnue comme la journaliste de l’année en cybersécurité et figurant dans la liste des 40 personnes de moins de 40 ans en cybersécurité du magazine Top Cyber News, elle est une leader d’opinion qui façonne le débat sur la cybersécurité. Jurgita a été citée dans le monde entier – par Metro UK, The Epoch Times, Extra Bladet, Computer Bild, etc. Son équipe rend compte de recherches exclusives mises en évidence dans des médias tels que la BBC, Forbes, TechRadar, Daily Mail, Fox News, Yahoo et bien d’autres.

À PROPOS DE CYBERNEWS.

Cybernews est un média indépendant mondialement reconnu où les journalistes et les experts en sécurité démystifient la cybersécurité par des recherches, des tests et des données. Fondé en 2019 en réponse aux préoccupations croissantes concernant la sécurité en ligne, le site couvre les dernières nouvelles, mène des enquêtes originales et offre des perspectives uniques sur l’évolution du paysage de la sécurité numérique. Grâce à des techniques d’investigation white-hat, l’équipe de recherche de Cybernews identifie et divulgue en toute sécurité les menaces et les vulnérabilités de cybersécurité, tandis que l’équipe éditoriale fournit des actualités, des analyses et des opinions liées à la cybersécurité par des initiés de l’industrie en toute indépendance.

Cybernews a attiré l’attention du monde entier pour ses recherches et ses découvertes à fort impact, qui ont mis au jour certaines des expositions de sécurité et des fuites de données les plus importantes d’Internet. Parmi les plus notables, citons :

• Les chercheurs de Cybernews ont découvert plusieurs ensembles de données ouvertes comprenant 16 milliards d’identifiants de connexion provenant de logiciels malveillants de vol d’informations, de médias sociaux, de portails de développeurs et de réseaux d’entreprise, mettant en évidence les risques sans précédent de piratage de comptes, de phishing et de compromission des e-mails professionnels.
• Les chercheurs de Cybernews ont analysé 156 080 applications iOS sélectionnées au hasard – environ 8 % des applications présentes sur l’App Store – et ont découvert un énorme oubli : 71 % d’entre elles exposent des données sensibles.
• Récemment, Bob Dyachenko, chercheur en cybersécurité et propriétaire de SecurityDiscovery.com, et l’équipe de recherche sur la sécurité de Cybernews ont découvert un index Elasticsearch non protégé, qui contenait un large éventail de détails personnels sensibles liés à l’ensemble de la population de Géorgie.
• L’équipe a analysé le trafic Web du nouveau smartphone Pixel 9 Pro XL et a constaté que le dernier smartphone phare de Google transmet fréquemment des données privées d’utilisateurs au géant de la technologie avant l’installation d’une application.
• L’équipe a révélé qu’une fuite massive de données chez MC2 Data, une société de vérification des antécédents, affecte un tiers de la population américaine.
• L’équipe de recherche en sécurité de Cybernews a découvert que les 50 applications Android les plus populaires nécessitent en moyenne 11 autorisations dangereuses.
• Ils ont révélé que deux créateurs de PDF en ligne ont divulgué des dizaines de milliers de documents d’utilisateurs, notamment des passeports, des permis de conduire, des certificats et d’autres informations personnelles téléchargées par les utilisateurs.
• Une analyse de Cybernews Research a découvert plus d’un million de secrets publiquement exposés à partir de plus de 58 000 fichiers d’environnement exposé (.env) de sites Web.
• L’équipe a révélé que l’instance dirigeante du football australien, Football Australia, a divulgué des clés secrètes qui pourraient ouvrir l’accès à 127 ensembles de données, y compris les données personnelles des acheteurs de billets et les contrats et documents des joueurs.
• L’équipe de recherche de Cybernews, en collaboration avec le chercheur en cybersécurité Bob Dyachenko, a découvert une fuite de données massive contenant des informations provenant de nombreuses violations passées, comprenant 12 téraoctets de données et couvrant plus de 26 milliards d’enregistrements.
• L’équipe a analysé le site Web de la NASA et a découvert une vulnérabilité de redirection ouverte qui sévit sur le site Web d’astrobiologie de la NASA.

L’équipe a enquêté sur 30 000 applications Android et a découvert que plus de la moitié d’entre elles divulguent des secrets qui pourraient avoir d’énormes répercussions sur les développeurs d’applications et leurs clients.