La cyberattaque peut être définie comme « une action individuelle ou collective délibérée, qui vise à porter atteinte à l’intégrité du système d’information informatisé […] à l’aide de tout ou partie du réseau Internet » [1].
Pour porter atteinte aux données personnelles en général et précisément aux données de la santé, les cybercriminels ont besoin d’accéder à l’espace virtuel du système informatique (ci-après SI), ce qui constitue une infraction au sens de l’article 323-1 du Code pénal, disposant :
« Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de trois ans d’emprisonnement et de 100 000 € d’amende.
Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de cinq ans d’emprisonnement et de 150 000 € d’amende.
Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à sept ans d’emprisonnement et à 300 000 € d’amende ».
Cette infraction nécessite la pénétration matérielle dans tout ou partie du système. Cela se fait notamment par l’obtention des codes d’accès de façon irrégulière, les manipulations illicites ou encore l’usage d’un logiciel espion afin d’obtenir un accès non autorisé et déborder des informations d’une personne dans le contexte d’une cyberattaque, dont il constitue généralement la première étape durant laquelle l’auteur de cette infraction s’installe à l’insu des utilisateurs et demeure caché pendant qu’il télécharge et installe des logiciels malveillants pouvant entraîner des conséquences graves, comme le vol des données personnelles ou l’usurpation d’identité [2].
Outre l’accès non autorisé, l’article 323-1 du Code pénal incrimine le fait de se maintenir dans tout ou partie du SI. Cette infraction présente un intérêt particulier par rapport à l’infraction de l’accès non autorisé car elle concerne la personne qui a initialement accédé légalement au SI mais qui est restée connectée alors qu’elle n’était pas autorisée à le faire.
Mais l’action des cybercriminels ne se limite pas à l’accès frauduleux ou le maintien non autorisé dans tout ou partie du SI. Ces infractions ne sont qu’une première phase pour faciliter la commission des infractions plus dangereuses telles que l’altération ou la destruction du fonctionnement du SI, conformément à l’article 323-2 du Code pénal qui dispose que
« Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 150 000 € d’amende.
Lorsque cette infraction a été commise à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à sept ans d’emprisonnement et à 300 000 € d’amende ».
Au surplus, l’altération ou la destruction peut viser, outre le SI, les données à caractère personnel. C’est ce que prévoit l’article 323-3 du Code pénal qui stipule que
« le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 150 000 € d’amende.
Lorsque cette infraction a été commise à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à sept ans d’emprisonnement et à 300 000 € d’amende ».
Dans ce contexte, il est crucial de comprendre les moyens utilisés par les cybercriminels pour commettre ces infractions. À ce propos, il convient de noter que les cybercriminels déploient une gamme croissante de moyens pour perturber ou altérer le fonctionnement du SI, parmi lesquels le virus informatique joue un rôle significatif. En fait, il représente une menace sérieuse, en constante évolution, capable d’entraîner des conséquences graves en termes d’altération et de destruction [3].
Toutes ces infractions s’expliquent non seulement par le développement des cyberattaques, mais aussi par la vulnérabilité potentielle des ordinateurs connectés au réseau informatique. Cela accentue la susceptibilité des SI, et en particulier les SIS, aux risques de cyberattaques. C’est ce qui s’est passé à l’encontre du Centre Hospitalier sud-francilien de Corbeil-Essonnes qui a été la cible d’une cyberattaque ayant de graves conséquences : « systèmes informatiques à l’arrêt, empêchant l’enregistrement de nouveaux patients aux urgences, et vol de données personnelles de nombreux patients de l’hôpital avec demande de rançon. Face au refus de l’hôpital de payer, les attaquants avaient mis en ligne 11 gigaoctets de données personnelles et médicales de patients, employés et partenaires. Parmi ces données : des comptes-rendus d’examens, coloscopies, accouchements ou encore examens gynécologiques » [4].
Il s’avère que « healthcare facility information systems are a perfect target for cybercriminals. The impacts can be both economic and operational : a failure in the operating system can equally endanger patients’ lives » (traduction en français : les systèmes d’information des établissements de santé sont une cible idéale pour les cybercriminels. Les conséquences peuvent être à la fois économiques et opérationnelles : une défaillance du système d’exploitation peut tout aussi bien mettre en danger la vie des patients) [5]. L’hôpital de Düsseldorf en a été le malheureux témoin en raison d’une paralysie de ses SIS causée par un rançongiciel. Par conséquent, une patiente en état critique n’a pas pu être traitée immédiatement, ce qui a entraîné son décès peu après sa prise en charge retardée [6].
De surcroît, ces infractions peuvent être commises par l’un des acteurs professionnels. Il peut s’agir non seulement du professionnel « qui aura démissionné […] en emportant les codes permettant d’accéder au réseau puis aux données pour lesquelles il était préalablement autorisé » [7], mais aussi du professionnel « qui est autorisé dans le cadre de son activité à accéder à un SI mais pour une fonction particulière et qui usurpe un profil d’accès lui permettant de connaître des informations auxquelles il n’est pas autorisé dans le cadre normal de son emploi » [8] .Cela peut être similaire à un professionnel de santé qui est autorisé à accéder dans le cadre de l’exercice de sa profession au SIS. À ce titre, la Cour de cassation française a condamné un professionnel de santé pour accès frauduleux et installation d’un logiciel malveillant dans les ordinateurs professionnels de deux de ses confrères pour récupérer les données numériques stockées dans ces ordinateurs. En l’espèce, le service informatique du Centre Hospitalier Universitaire de Nice a découvert qu’un dispositif permettant d’espionner la frappe du clavier et de récupérer tous les caractères tapés avait été installé sur les ordinateurs de deux professionnels de santé. L’enquête policière a démontré qu’un professionnel de santé dispose chez lui d’un ordinateur portable dans lequel figurent des captures d’écran réalisées sur les ordinateurs professionnels des deux praticiens. Le médecin a admis avoir acheté ce logiciel sur Internet et l’avoir ensuite installé sur les ordinateurs de deux de ses confrères, dans le but de récupérer des courriels pouvant lui être utiles dans le cadre d’un litige avec un professeur de médecine qu’il avait dénoncé devant l’ordre des médecins. Conséquemment, le praticien a été poursuivi pour avoir illégalement accédé à tout ou partie d’un SIS et pour la détention sans motif légitime des outils des instruments ou des données conçus ou adaptés pour perturber le fonctionnement d’un SIS [9].
En somme, l’espace numérique de santé expose les données de santé du patient aux risques de cyberattaques, ce qui soulève des enjeux critiques de la cybersécurité et de la protection des données médicales. À vrai dire, les menaces de cyberattaques constituent un défi mondial. En fait, les SIS, partout dans le monde, sont exposés aux cyberattaques. Pour une telle raison, le renforcement de la cybersécurité des échanges numériques devient primordial. C’est dans ce même sens que le nouveau règlement sur l’IA prévoit que « la cybersécurité joue un rôle crucial pour ce qui est de garantir la résilience des systèmes d’IA face aux tentatives de détourner leur utilisation, leur comportement ou leur performance ou de compromettre leur propriété de sûreté par des tiers malveillants exploitant les vulnérabilités du système. […] » [10].
