Selon une étude récente réalisée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en collaboration avec les organismes de sécurité sociale, près de 80% des opérations effectuées par les assurés sont désormais réalisées en ligne. Cette tendance à la dématérialisation des démarches administratives est en constante augmentation. Cette numérisation croissante des services de la sécurité sociale en France a permis d’améliorer l’efficacité et l’accessibilité des prestations sociales pour les citoyens.
En revanche, l’ampleur des données personnelles stockées dans les bases de données de la sécurité sociale en fait une cible attrayante pour les pirates informatiques. Selon une étude de l’agence du numérique en santé, les organismes de sécurité sociale en France ont connu une augmentation significative des tentatives de cyberattaques au cours des dernières années, avec une hausse de 35% des incidents signalés en 2022 par rapport à l’année précédente.
Dans la société numérique actuelle, il est capital d’anticiper les conséquences potentielles d’une cyberattaque sur la sécurité sociale en France, tant d’un point de vue opérationnel que financier. En outre, il est primordial d’identifier les vulnérabilités et les mesures préventives à adopter pour atténuer les risques liés à ces attaques et garantir la continuité des services essentiels pour les assurés.
Une dématérialisation exponentielle
La sécurité sociale en France offre une gamme de services et de fonctionnalités numériques qui permettent aux assurés d’accéder facilement aux prestations sociales et de gérer leurs démarches administratives en ligne. Parmi les principaux services numériques proposés par la sécurité sociale, on retrouve la déclaration des revenus, le remboursement des soins de santé, ou encore la gestion des droits sociaux.
L’interconnectivité des différents acteurs impliqués dans le système de sécurité sociale est essentielle pour assurer un échange fluide et sécuriser des informations. Les organismes de sécurité sociale, les professionnels de santé et les assurés sont tous connectés par le biais de plateformes numériques. Cette interconnectivité accrue a conduit à une évolution significative des modes de communication et des échanges de données. La dématérialisation des démarches administratives a permis de réduire les délais de traitement et d’améliorer l’efficacité des services. Selon le rapport annuel 2021 de la Caisse nationale d’assurance maladie (CNAM), plus de 80% des feuilles de soins électroniques ont été transmises par voie électronique, soit une augmentation de près de 20% par rapport à 2020. Et environ 95% des déclarations de revenus ont été effectuées en ligne.
Des vulnérabilités et menaces cyber spécifiques
Les systèmes de sécurité sociale en France présentent certaines vulnérabilités qui les rendent susceptibles d’être ciblés par des cyberattaques. Ces vulnérabilités comprennent bien sûr la faiblesse des mots de passe. Utilisée par les citoyens de tout âge, les applications de connexions représentent une porte d’entrée souvent des plus faciles. De nombreux utilisateurs utilisent des mots de passe faibles ou réutilisent les mêmes mots de passe pour plusieurs comptes, augmentant de fait, le risque de compromission des comptes. Mais elles comprennent aussi des défauts de sécurité logicielle. Entité crée en 1945, les vulnérabilités liées à des dispositifs vétustes peuvent exister dans les applications et les logiciels utilisés par les systèmes de sécurité sociale et sont alors exploitables par des attaquants. Enfin, le manque de formation à la cybersécurité constitue également une des vulnérabilités de l’écosystème de la sécurité sociale. Les utilisateurs finaux et les employés, ne sont pas suffisamment conscients des bonnes pratiques de sécurité, ce qui peut entraîner des erreurs humaines et faciliter les attaques.
Face à ces vulnérabilités, les cyberattaques sur les systèmes de sécurité sociale peuvent prendre différentes formes, selon les objectifs des pirates informatiques.
On peut noter les attaques par phishing dans le but de tromper les utilisateurs et de les inciter à divulguer des informations sensibles, telles que leurs identifiants de connexion. Selon une étude réalisée par le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR), en 2022, la France a enregistré plus de 65 000 signalements de tentatives de phishing, soit une augmentation de 67% par rapport à 2021.
Dans un second temps, on voit les cyberattaques de ransomware qui visent à chiffrer les données en échange d’une rançon pour les débloquer. Si les systèmes de sécurité sociale sont compromis par un ransomware, la crise s’en suivra d’une interruption massive des services et une potentielle perte de données personnelles. En 2021, le nombre de tentatives de ransomware en France a augmenté de 62% par rapport à l’année précédente selon Kaspersky, et ce, notamment dans le secteur public et le secteur de la santé comme le démontre les cyberattaques récentes de l’hôpital de Corbeil-Essonnes ou très récemment de la mairie de Saint-Brevin en Loire Atlantique.
Enfin l’une des attaques les plus probables d’affecter l’infrastructure réseau de la sécurité sociale sont les attaques par DDoS. Ces attaques, dites par déni de service distribué, visent à submerger les systèmes ciblés en les inondant de trafic, et entrainent une indisponibilité des services pour les utilisateurs légitimes. Selon une enquête réalisée par l’ANSSI, en 2022, la France a connu une augmentation de 75% des attaques DDoS par rapport à l’année précédente.
Des motivations diverses
Si les cyberattaques peuvent être victorieuses et les cyberattaquants de plus en plus expérimentés, il est primordial de comprendre les principales motivations d’un ciblage de l’infrastructure réseau de la sécurité sociale. Parmi ces motivations, l’une des principales est le vol d’informations personnelles. En ligne de mire, des informations personnelles, telles que les numéros de sécurité sociale, les coordonnées bancaires ou les données médicales, dans le but de les exploiter à des fins frauduleuses et lucratives. Un dossier médical complet se revend près de 350$ sur le dark web tandis qu’un numéro de sécurité social environ 3$, avec plus de 65 millions d’assurés, la recette peut être fructueuse.
Pour savoir combien se vendent vos données personnelles sur le dark web, découvrez le tableau récapitulatif de nos experts cyber ici : https://www.linkedin.com/feed/update/urn:li:activity:7021045445179138048/
Parmi les autres motivations nous retrouvons l’extorsion financière, comme évoqué précédemment grâce aux ransomware – 10 millions d’euros avaient été demandés à l’hôpital de Corbeil-Essonnes en Septembre 2022 – ou encore le sabotage et la perturbation des services de sécurité sociale, causant par la suite des problèmes opérationnels et affectant la confiance des utilisateurs. A noter que la plupart des groupes cybercriminels précisent dans leur code éthique ne pas attaquer des établissement de santé dans le but de nuire à la vie des patients hospitalisés et uniquement dans un but illegalement lucratif.
Si la sécurité sociale, entité non lucrative n’est pas sujet à une perte financière importante dû à une perte de clients, peu importe la nature de l’attaque et les motivations, les conséquences d’une cyberattaque sur la sécurité sociale peuvent être redoutables. Entrainant possiblement une interruption des services, une perte de données sensibles, une violation de la vie privée des assurés et des coûts importants pour la remise en état des systèmes et la gestion de crise.
Des conséquences à court et long termes
Les conséquences d’une cyberattaque contre la sécurité sociale s’inscrivent à court et long terme. Immédiatement après l’attaque, nous assistons à une perturbation des services et indisponibilité des plateformes numériques. Les attaquants peuvent ainsi paralyser les infrastructures informatiques, entraînant une interruption des services essentiels pour les assurés. Par exemple, en 2020, l’Assurance Maladie en France a été victime d’une attaque informatique majeure qui a perturbé ses services en ligne pendant plusieurs jours. Cela a eu un impact direct sur les assurés qui ne pouvaient plus accéder aux services de remboursement en ligne ou vérifier l’état de leurs demandes.
Une cyberattaque sur les systèmes de sécurité sociale peut également entraîner des risques de fuite de données sensibles, compromettant immédiatement et à long terme la vie privée des assurés. Les données sensibles peuvent être par la suite utilisées à des fins d’usurpation d’identité ou de fraude ou encore à des fins lucratives comme évoqué en amont. En 2017, l’ANSSI a signalé une fuite de données à la Caisse nationale d’assurance maladie (CNAM). Près de 500 000 enregistrements contenant des informations personnelles d’assurés ont été compromis, exposant ainsi ces individus à un risque élevé de fraude.
Les conséquences financières d’une cyberattaque sur les systèmes de sécurité sociale peuvent elles aussi être significatives. Les organismes de sécurité sociale peuvent être confrontés à des coûts élevés liés à la remise en état des systèmes, à la récupération des données et à la mise en place de mesures de sécurité renforcées. De surcroit, les assurés eux-mêmes peuvent subir des pertes financières en cas de vol d’informations sensibles. Si des données bancaires sont compromises, les assurés peuvent être victimes de fraudes financières et de transactions non autorisées. Une étude de IBM Security et du Ponemon Institute de 2020 démontre que le coût moyen d’une violation de données pour une entreprise en France s’élevait à 3,92 millions d’euros. Ces coûts comprennent les dépenses de remédiation, les pertes de revenus, les sanctions réglementaires et les litiges potentiels. A l’échelle de la sécurité sociale, il est dificile d’émettre un coût précis mais il serait sans doute très conséquent.
Enfin, une cyberattaque majeure sur les systèmes de sécurité sociale peut avoir un impact significatif sur la confiance des utilisateurs envers les services numériques. Les assurés peuvent craindre que leurs données personnelles ne soient pas suffisamment protégées, ce qui peut les amener à éviter l’utilisation des services en ligne et à préférer des modes de communication traditionnels plus coûteux et moins efficaces. Une étude réalisée par Ipsos pour le compte de Microsoft en 2021 a révélé que 66% des Français étaient préoccupés par la sécurité de leurs données personnelles lorsqu’ils utilisaient des services numériques.
Des mesures de prévention de rigueur
Face à ces constats il est donc essentiel de mettre en place des mesures de sécurité solides, d’établir des protocoles de réponse aux incidents et de communiquer efficacement avec les assurés pour rétablir la confiance et assurer la continuité des services numériques de la sécurité sociale. Il est requis la mise en place de pare-feux et de solutions de détection des intrusions, l’utilisation de systèmes d’authentification forte (authentification multifactorielle), la mise à jour régulière des logiciels et des applications pour combler les vulnérabilités connues. De rigueur également, la sauvegarde régulière des données sensibles est une pratique qui minimise les pertes en cas d’attaque ou de compromission, ainsi que l’utilisation de techniques de chiffrement pour protéger les données en transit et au repos.
Dans un second temps, il est nécessaire d’appliquer des mesures de sécurité techniques, organisationnelles et humaines dans le but de renforcer la résilience de leurs systèmes. Ces mesures passent à la fois par la surveillance constante des réseaux et des systèmes, dans le but de détecter les activités suspectes et les intrusions potentielles. Elles passent également par le développement de politiques de sécurité claires et de procédures de gestion des incidents, alliées à des contrôles d’accès appropriés pour limiter les privilèges et autorisations des utilisateurs, réduisant ainsi les risques de compromissions.
Dans l’objectif de sensibiliser les utilistauers nous pouvons penser à l’organisation de séances de sensibilisation et de formations régulières, des diffusions de messages d’alerte et de recommandations de sécurité via des canaux de communication internes et externes, tels que les sites web des organismes de sécurité sociale et les médias sociaux ou encore un encouragement constant des utilisateurs à signaler immédiatement toute activité suspecte ou tout courriel douteux.
En matière de pérennité, les organismes de sécurité sociale se doivent d’élaborer des plans de continuité d’activité et des plans de gestion de crise pour faire face aux cyberattaques, incluant notamment une identification des processus et des services critiques, une définition de procédures claires de rétablissement des services ainsi qu’un maintien de coordination avec les autorités compétentes, les prestataires de services de cybersécurité et les parties prenantes externes pour une réponse efficace en cas d’incident.
Nos perspectives d’avenir
Il est crucial de suivre de près l’évolution des menaces et des attaques potentielles dans le domaine de la sécurité sociale. Les cybercriminels utilisent constamment de nouvelles tactiques et techniques pour compromettre les systèmes de sécurité sociale. De plus avec l’avènement des nouvelles technologies et de l’IA, les attaques ne cessent de devenir de plus en plus précises et impactantes. Les organismes de sécurité sociale se doivent par conséquent d’investir dans des ressources et des technologies appropriées pour renforcer la résilience de leurs systèmes face aux cyberattaques. Cela comprend l’allocation de budgets adéquats pour la cybersécurité, l’embauche d’experts en sécurité, l’utilisation de solutions de sécurité avancées et la mise en place de mécanismes de surveillance et de détection efficaces. La réforme du Code des marchés publics, demandée par de nombreux experts cyber, permettraient aux institutions publiques de se protéger grâce à des solutions européennes et souveraines.
“Une collaboration entre les organismes de sécurité sociale, les autorités gouvernementales et les entreprises de cybersécurité est essentielle pour faire face aux cyberattaques”
— précise Frans Imbert-Vier, expert en cybersécurité, PDG d’UBCOM.
Il est crucial d’établir des partenariats solides, de partager les informations sur les menaces et les incidents, et de bénéficier de l’expertise et des ressources des parties prenantes externes. Dans cet optique, il devient vital d’accroître la sensibilisation des décideurs politiques et des responsables de la sécurité sociale sur les enjeux de cybersécurité.