Ameli.fr, France Travail, Réseau interministériel de l’État (RIE)… Pas une semaine ne se passe sans qu’une administration soit victime d’un piratage via sa plateforme numérique. En février, les données personnelles d’environ 70 000 personnes, dont un millier d’élus, ont été dérobées à la Caisse des dépôts. En novembre, cinq établissements du groupe Aléo Santé ont connu une attaque sans précédent. Noms, prénoms, détails des ordonnances : les informations médicales de plus de 750 000 Français ont été mises en vente sur un forum.
Le 11 mars 2024, ce sont les 800 sites administratifs du RIE qui ont été la cible d’un hacker – dont l’intensité de l’attaque a été qualifiée d’« inédite » par Matignon. Quelques semaines plus tôt, le piratage de deux spécialistes du tiers payant, Viamedis et Almerys, a également conduit à la diffusion des numéros de Sécurité sociale de quelque 33 millions de Français.
Selon le dernier rapport annuel de l’Agence française de sécurité informatique (Anssi), publié le 11 mars, les cyberattaques ont augmenté de 15 % en 2024. « Cette volonté d’Emmanuel Macron d’un État plateforme 100 % numérique est à n’en pas douter positive. Mais il ne faut pas se voiler la face : derrière, ça engrange des milliards, si ce n’est des trilliards de données qu’on fournit naturellement ou inconsciemment », souligne auprès du JDD Damien Bancal, expert en cybersécurité.
Des données sensibles hébergées par les Gafam
S’il y a des données dont la protection est un enjeu de taille, ce sont bien celles liées à la santé. La France dispose d’une des plus grandes bases médico-administratives du monde. Près de 1,4 milliard de feuilles de soins par an, 600 millions d’actes médicaux et 13 millions d’hospitalisations ont été effectués en 2022, d’après le Système national des données de santé (SNDS).
Pour centraliser l’ensemble des informations des 67 millions de Français, une plateforme a été créée : le Health Data Hub. Assurance maladie, pharmacie, hôpitaux publics… Ce méga-espace de données a été lancé en 2019 avec la volonté affichée de mettre à disposition toutes les informations nécessaires pour favoriser la recherche. Mais ce n’est pas tant sa création qui fait débat que l’hébergement des données. Pour les sécuriser, la plateforme a fait appel à une filiale de Microsoft qui, depuis 2018, est certifiée comme « hébergeur de données de santé » en France.
La suite après cette publicité
Mais en tant que société américaine, Microsoft est soumise aux lois extraterritoriales des États-Unis, dont la Fisa (Foreign Intelligence Surveillance Act) et le Cloud Act. « Des textes qui permettent aux forces de l’ordre ou agences de renseignement américaines d’obtenir les informations stockées sur les serveurs des hébergeurs », nous explique Damien Bancal. En clair, le pays de l’Oncle Sam peut récupérer légalement les informations de santé d’un citoyen français sans son consentement. Et ce, même si elles appartiennent à une entreprise tricolore…
Pourtant, alors que la souveraineté numérique de la France est menacée par sa dépendance aux Big Tech US, la Commission nationale de l’informatique et des libertés (Cnil) a autorisé, dans une délibération publiée le 31 janvier 2024 au Journal officiel (JO), l’hébergement des données par Microsoft Azure pour trois ans. L’agence publique déplorait qu’aucun fournisseur européen « ne propose d’offre d’hébergement répondant aux exigences techniques et fonctionnelles ».
« La France est perdue »
Un reproche formulé également à Doctolib. La plateforme de prise de rendez-vous médical, utilisée par plus de 50 millions de Français, héberge ses données chez un Américain, Amazon Web Service (AWS), certifié HSD. Là aussi, pour les représentants de la licorne française la mieux valorisée de la French Tech (6,4 milliards de dollars), la qualité de service d’un prestataire européen ne suivrait pas. « Nous sommes Français. Nous n’avons aucun problème à travailler avec des acteurs français, mais seulement si l’un d’entre eux avait une capacité d’hébergement suffisante. Le jour où il y en aura un, nous serons ravis de migrer chez eux », a réagi Jean-Urbain Hubau face à la Commission des Affaires Sociales du Sénat, le 20 mars 2024.
« Depuis l’incendie en mars 2021 du centre de données français OVH, les entreprises publiques – à l’image d’EDF récemment – sont réticentes à privilégier un hébergeur tricolore. La France est perdue. Nos qualités en matière d’hébergement ont été reléguées au profit des Américains et des Chinois », déplore Centho, qui se présente comme un « chasseur d’escrocs ».
D’après une étude Statista menée fin février, le coût total des cyberattaques en France en 2024 devrait atteindre 119 milliards d’euros. En 2019, période pré-Covid, où la numérisation de 250 démarches administratives les plus usuelles n’avait pas encore été lancée, le coût était de 17 milliards d’euros.
Source : Lire Plus
