Une étude, menée par la société allemande Greenbone Networks, montre que des systèmes d’archivage d’images médicales sont facilement consultables, car mal sécurisés. Et certains de ces systèmes se situent en France.
La sécurité des données médicales remise en cause par une étude
Greenbone Networks a étudié 2 300 systèmes d’archivage d’images médicales accessibles sur Internet, entre la période allant de mi-juillet à début septembre 2019. Et cette analyse a démontré que 590 de ces systèmes sont accessibles, dont 39 sans aucune protection.
Au total, ce sont plus de 24 millions d’enregistrements issus de systèmes d’archivage de 52 pays qui sont concernés par ce problème de sécurité. On y trouve plus de 737 millions d’images et 400 millions d’entre elles sont facilement accessibles ou téléchargeables.
Problème de protection des données médicales en France
Et la France n’est pas épargnée par ces problèmes de protection des données médicales. En effet, 7 serveurs médicaux non sécurisés ont été trouvés sur tout le territoire. Ils contiennent pas moins de 2,6 millions d’images appartenant à 47 500 dossiers de patients, et qui sont librement accessibles. Et on ne trouve pas seulement des images médicales, mais aussi des informations sur les patients comme le nom, le prénom, la date de naissance et des données sur les examens réalisés : date, type de procédure d’imagerie, nom du médecin traitant, nom de la clinique…
De plus, Greenbone Networks n’a pas utilisé de techniques informatiques très compliquées pour accéder à ces données comme l’explique Christophe Lambert, directeur Systems Engineering Grands Comptes EMEA chez Cohesity : « Pour réaliser leur étude, les experts de Greenbone Networks ont utilisé des outils accessibles en ligne de découverte d’équipements connectés. Ils se sont contentés de rechercher les systèmes intégrant le protocole DICOM, un standard technologique basé sur TCP/IP utilisé notamment par les acteurs de la santé pour l’échange de données médicales. Autant dire que ce type de recherche est accessible au plus grand nombre, et qu’une connaissance poussée des systèmes d’information n’est pas nécessaire. Il s’agit donc d’une victoire facile pour des personnes mal intentionnées. »
Il complète en soulignant : « La disponibilité en ligne de fichiers à caractère hautement confidentiel démontre que les organisations et les individus n’ont pas pleinement conscience des risques encourus lorsqu’ils hébergent des documents de nature médicale sur des serveurs accessibles depuis Internet. »