L’affaire du PDG d’une société de cybersécurité accusé d’avoir installé un logiciel malveillant dans un hôpital d’Oklahoma City soulève des questions troublantes sur les motivations et les méthodes employées dans le secteur de la sécurité informatique. Les analystes suggèrent plusieurs hypothèses : une tentative de chantage déguisée en démonstration de vulnérabilités, une opération malveillante visant à récupérer des données sensibles, ou même une stratégie commerciale agressive pour vendre des services de protection. Certains observateurs mettent en doute la plausibilité d’une telle manœuvre, la comparant à des escroqueries par rançongiciel ou à des campagnes de peur orchestrées par des acteurs malveillants. D’autres soulignent le manque de sophistication de l’attaque, réduite à de simples captures d’écran, ce qui contraste avec le profil supposé d’un expert en cybersécurité. Par ailleurs, cette affaire relance le débat sur la responsabilité des entreprises de sécurité, souvent soupçonnées de créer elles-mêmes les menaces qu’elles prétendent combattre.
Bien que cette théorie soit largement contestée, notamment en raison de l’ampleur phénoménale des cybermenaces, qui dépasse les capacités de production d’une seule société, elle persiste dans l’imaginaire collectif. Le témoignage d’un professionnel du secteur rappelle que l’industrie antivirus n’a aucun intérêt économique à fabriquer des virus, mais que certains acteurs peu scrupuleux peuvent exploiter les failles pour justifier leurs services. Cette affaire illustre ainsi la fine frontière entre sécurité et malveillance, où la quête de profit peut parfois conduire à des pratiques éthiquement discutables.
Les établissements de santé, cibles privilégiées des cybermenaces internes et externes
Fin 2017, SSM Health a notifié environ 29 000 patients qu'un ancien employé de son centre d'appels avait accédé de manière inappropriée à leurs dossiers médicaux, constituant ainsi une violation de données. Dans un communiqué du 29 décembre 2017, l'établissement de santé a précisé que ces accès illégitimes concernaient des informations médicales protégées (PHI) de patients dans plusieurs États, incluant des données démographiques et cliniques, enfreignant ainsi la loi HIPAA. Aucune information financière n'aurait été compromise.
L'incident s'est produit entre le 13 février et le 20 octobre 2017. L'enquête a révélé que le responsable ciblait particulièrement des patients de la région de Saint-Louis sous traitement médicamenteux contrôlé, ainsi que leurs médecins traitants.
SSM Health a découvert cette violation le 30 octobre 2017 et a immédiatement engagé des investigations tout en collaborant avec le Bureau des droits civiques (OCR) et les autorités locales pour renforcer la sécurité des données.
Les violations internes constituent un défi majeur pour les établissements de santé. Si les employés ont besoin d'accéder aux données sensibles pour leur travail, certains en abusent pour diverses raisons : profit financier (revente sur le dark web), curiosité ou motifs personnels (consultation de dossiers de personnalités ou de connaissances).
La prévention de ces menaces internes est complexe, tout accès légitime pouvant potentiellement être détourné. Les organisations peuvent néanmoins limiter les risques en :
- Mettant en place des contrôles stricts d'accès aux données
- Restreignant l'utilisation de supports amovibles
- Formalisant ces mesures dans leur système de gestion de la continuité d'activité (SGCA)
Ces dispositifs permettent aux établissements de santé de mieux anticiper les risques tout en maintenant un accès nécessaire aux données médicales.
Le PDG a été inculpé pour avoir délibérément installé un logiciel malveillant sur les ordinateurs de l’hôpital St. Anthony, établissement géré par SSM Health. L’affaire a éclaté le 6 août 2024 lorsqu’un membre du personnel a surpris un individu en train d’utiliser un poste réservé aux employés. Interpellé, l’homme a prétendu qu’un proche subissait une opération et qu’il avait besoin d’accéder à l’ordinateur.
Cependant, les images des caméras de sécurité ont révélé qu’il avait tenté d’accéder à plusieurs bureaux et utilisé deux appareils. Une analyse forensique a confirmé l’installation d’un malware conçu pour capturer des écrans toutes les 20 secondes et les envoyer vers une adresse IP externe. Bien que...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.