Cyberattaques : les données de santé valent-elles si cher ? Pas sûr

Le 18 mars dernier, dans une chronique publiée par le JDD sur les cyberattaques, Christine Kelly l’assurait : « tout se vend sur le Net. Une carte bleue coûte environ 50 dollars, un numéro de Sécurité sociale quelques dollars, un dossier médical complet entre 800 et 1 000 dollars, avec les antécédents médicaux de la personne, ses pathologies, etc. ». Un mois plus tôt, le centre hospitalier d’Armentières avait été victime d’une cyberattaque avec rançongiciel. Fin février, l’attaque était revendiquée sur la vitrine de l’enseigne Blackout. Seulement 4 victimes lui sont connues à ce jour et elle semble recourir au « builder » de la franchise LockBit 3,0, sans pour autant avoir de lien avec cette dernière.

Réagissant à de nombreux commentaires, dans les médias, de cette cyberattaque, Quentin Le Thiec, ingénieur cybersécurité au sein du CERT Santé, affirme sur LinkedIn que « non, les hôpitaux ne sont pas spécifiquement ciblés par les hackers ! ». Et d’ajouter, « non les données de santé ne valent pas “une fortune”, du moins pas votre IRM du genou ». 

Entre rien et 1 000 dollars, il y a un écart certain. Si la réalité se situe quelque part entre les deux, la question est : où ? Commençons par chercher qui avance des chiffres, lesquels, et quand.

Mi-avril 2017, Mariya Yao, rédactrice en chef de Topbots et directrice technique de Metamaven, publiait une tribune dans Forbes titrée : « vos dossiers médicaux pourraient valoir 1 000 $ pour les pirates ». On relèvera l’usage prudent du conditionnel. 

Pour étayer son propos, Mariya Yao convoque une étude, de Protenus, Inc. – présenté comme développant des solutions de prévention du piratage de données médicales –, recensant les brèches de données de santé en 2016, outre-Atlantique. Las, cette étude n’associe aucune valeur pécuniaire à ces données et l’autrice n’indique pas sur quoi elle base la valeur qu’elle avance. Cela n’empêchera pas Experian de reprendre le chiffre comme une vérité…, ni HealthTech de citer Experian comme source de ce chiffre fin 2019, ou encore Fierce Healthcare début 2021, et Healthnews, à l’automne 2023 !

En 2015, l’Infosec Institute avançait le chiffre de 500 $ par patient, faisant référence à une étude d’Aberdeen que nous n’avons pas réussi à trouver. Mais un an plus tard, Trend Micro se contentait de 82,90 $ par dossier. En 2018, Trustwave parlait de 250 $, contre 350 $ pour IBM, en 2017. 

En 2016, le chercheur James Scott, du think tank ICIT évoquait, dans un rapport destiné au Sénat américain, un prix de vente moyen de 20 $ pour un dossier médical numérique. Au mois d’août de cette même année, MOS Medical Record Reviews avançait un prix de 60 $. 

Là où, selon James Scott, les tarifs peuvent grimper, c’est pour des dossiers individuels extrêmement complets, dépassant les seules données médicales, et assortis, par exemple, d’informations financières, voire assurantielles, etc. Ces dossiers, plus difficiles à constituer, mais au potentiel malicieux plus important, pouvaient alors se monnayer entre 100 et 500 $. Ce qui reste très loin du millier de dollars. 

En 2017, feu Vitali Kremez, alors chez Flashpoint, avançait de quoi doucher les espoirs de fortunes des aspirants cybercriminels en quête de données médicales : les données de 43 000 patients d’une clinique de Baltimore avaient été vendues pour 300 $. Plus généralement, indiquait-il alors, « Flashpoint a observé des acteurs proposant des données médicales à un prix de gros de 7 dollars par dossier, [mais] la norme pour la valeur d’un dossier individuel est maintenant de 0,50 à 1 dollar ».