Piratage des données de santé : voici ce que vous devez vérifier
Les attaques informatiques visant les hôpitaux et des mutuelles se multiplient. Comment savoir si vos données de santé ont été piratées ? Et comment réagir dans ce cas ? On fait le point.
Le 11 février dernier, le centre hospitalier d’Armentières, dans le Nord, a été victime d’un piratage informatique. Il a conduit à la diffusion des données médicales de plus de 300 000 patients.
Trois jours plus tôt, une cyberattaque avait mis la main sur les données de 33 millions de Français en ciblant des spécialistes du tiers payant qui travaillent avec des dizaines de mutuelles, soit un Français sur deux.
Quelles données sont le plus souvent volées ?
La nature des données volées varie d'un piratage à un autre. À l’hôpital d’Armentières, ce sont les coordonnées des patients, leur date de venues et le secteur de prise en charge qui ont été piratés.
Du côté des spécialistes du tiers payant Viamedis et Almerys, il s’agit des noms, prénoms, dates de naissance et numéros de Sécurité sociale des assurés, mais aussi le nom de leur mutuelle santé, leur numéro de contrat et les garanties associées.
Les informations bancaires, les adresses mail et les numéros de téléphone n'ont pas été volés. Mais comme le darkweb regroupe toutes les données de piratage, les pirates arrivent généralement à croiser les données volées précédemment et à retrouver ces informations.
Un risque d'usurpation d’identité
Que deviennent ces données lorsqu'elles sont entre les mains des pirates ? Le simple numéro de Sécurité sociale peut être utilisé pour reconstituer votre profil et usurper votre identité. Ils peuvent ainsi accéder à des services en ligne via FranceConnect : impôts, retraite, allocations, chômage, renouvellement des papiers d’identité, immatriculation d’un véhicule…
Enfin, dès lors qu'ils ont reconstitué un profil très détaillé d’une personne, ils peuvent lui envoyer un SMS ou un mail et se faire passer pour un conseiller de la banque ou de la mutuelle, par exemple, et lui soutirer habillement un RIB, un numéro de carte bleue ou un mot de passe. C’est ce qui s'appelle le hameçonnage.
Comment savoir si vos données ont été piratées
Pour savoir si vous êtes concerné, vous pouvez vous rendre sur le site du magazine 60 millions de consommateurs à la page Mutuelles : êtes-vous victime du méga-piratage de données ? afin de voir si votre mutuelle est dans la liste des sociétés potentiellement touchées.
Si c’est effectivement le cas, vous devez aller sur le site Ameli.fr et changer votre mot de passe dans la rubrique "mes informations". Préparez-vous ensuite à être vigilants pendant plusieurs mois.
De quoi faut-il se méfier ?
Faites attention aux SMS ou aux mails en provenance de votre mutuelle, de l’Assurance maladie, et en particulier de ceux qui vous parlent d’un renouvellement nécessaire de votre carte vitale ou d’un paiement de 900 euros bloqué sur votre compte Ameli.
Cela peut aussi prendre la forme d'une demande de paiement de cotisation sous peine de fermeture de votre compte. À chaque fois, il vous sera demandé de cliquer sur un lien. Ne le faites surtout pas, il vous conduirait sur un site malveillant.
Que faire en cas de vol de données ?
Si votre mutuelle vous a informé que vos données ont peut-être été dérobées, vous avez intérêt à porter plainte. Le parquet de Paris a mis en place une procédure simplifiée, que vous pouvez trouver à l'adresse cybermalveillance.gouv.fr.
Vous n'avez pas besoin d’aller au commissariat, tout se fait en ligne. Si les coupables sont retrouvés et qu’ils sont jugés en correctionnelle, vous pourrez demander des dommages et intérêts pour préjudice moral.
En cas d’usurpation d’identité, cette plainte sera un élément de preuve permettant de montrer que vous n’avez pas donné délibérément vos informations.
Mais ce ne sera pas utile en cas de hameçonage car il est très difficile de remonter à l’origine des informations qui ont été utilisées pour vous hameçonner. Il faut donc toujours être très vigilant.