À la mi-septembre 2021, un certain nombre de médias relayait l’information selon laquelle l’Assistance publique-Hôpitaux de Paris (AP-HP) avait été victime d’une attaque informatique (cyberattaque) au cours de l’été. Agression réussie puisque les pirates ont dérobé les données d’environ 1,4 million de personnes, données collectées dans le cadre d’un test de dépistage du Covid19 dans le courant l’année 2020. La faille technologique qui a facilité le vol ne concerne pas les applications informatiques de l’AP-HP mais un serveur de partage de fichier (un prestataire externe en quelque sorte) utilisé pour accélérer la transmission des données de dépistage à l’Assurance maladie dans le but d’optimiser le « tracing ». Pourtant, le Règlement général pour la protection des données personnelles (RGPD) dit très clairement que la sécurité informatique ne doit pas se limiter aux systèmes internes mais aussi à celui des sous-traitants, même quand on est pressé…
Il s’agit là d’une énième attaque au rançongiciel dont la litanie jalonne les sites spécialisés dans la sécurité informatique. Un énième incident dans une série en croissance de piratages massifs de données. Les autorités s’inquiètent et se mobilisent sans pouvoir stopper la vague des cyberattaques. Les prévisions sont alarmistes: « Une grande crise est possible et comporte un risque systémique » déclare Guillaume Poupard, directeur général de l’ANSSI. La CNIL estime quant à elle que les violations de données personnelles vont doubler en 2021. Et le criminologue et orateur Alain Bauer déclarait déjà il y a dix-huit mois: « Le prochain virus sera cyber« .
On peut se demander si les petites entreprises, les collectivités locales, la population en général ont vraiment pris la mesure du phénomène. L’attaque de l’AP-HP, du fait qu’elle touche à la santé de tous, est peut-être de nature à sensibiliser davantage bien que les cyberattaques d’hôpitaux ne sont pas tout à fait nouvelles (attaque de l’hôpital de Marmande à l’été 2020 et des hôpitaux de Dax et de Villefranche-sur-Saône en février 2021) mais avec l’AP-HP, on monte encore d’un cran. Pour ceux qui en douteraient encore, non les pirates ne sont pas gênés de s’en prendre aux hôpitaux qui, au contraire, peuvent potentiellement rapporter plus car plus fragiles que certaines entreprises qui se protègent mieux. Pas d’état d’âme dans la cybermalveillance.
Le point positif – si j’ose dire – est que cette cyberattaque de l’AP-HP n’a pas bloqué le fonctionnement du système informatique de l’hôpital (voir la notion de déni de service) et a « simplement » siphonné le contenu d’une bases de données. Les données personnelles des personnes testées se trouvent vraisemblablement à vendre sur le dark web, avec des milliards d’autres. Ça ne se voit pas et le problème n’en est que plus insidieux.
Comment sensibiliser l’ensemble des acteurs économiques et l’ensemble de la population à ce danger quand on a du mal à visualiser le risque? Le vol de données, n’est pas très concret. Si on me vole ma voiture, je le vois et j’en subis immédiatement les conséquences: déclaration à l’assurance, plainte, location d’une voiture, annulation ou déplacement de rendez-vous, etc. Mais si on me vole mes données… D’abord, je les ai encore (c’est un peu comme si ma voiture existait en cinquante ou cent exemplaires sans souci de parking, ou presque… ). Ensuite, ça ne m’entrave pas dans la poursuite de mes activités. Du moins pas systématiquement, pas tout de suite, pas directement. C’est après que ça peut être l’enfer, avec une usurpation d’identité, un vol de coordonnées bancaires par phishing (hameçonnage), etc. On pourrait comparer au vol de vos clés d’appartement; même si vous avez un double et que vous pouvez rentrer chez vous, vous risquez un cambriolage; vous allez bien sûr changer la serrure, mais on ne peut pas changer son numéro de sécurité sociale… pas encore en tout cas…
Comment convaincre du risque quand il n’est pas immédiatement visible?
Mon propos ici n’est pas de revenir sur le détail du piratage, sur ses causes et ses conséquences, cela a déjà été fait (voir par exemple l’article des Échos, celui de l’Express ou celui de Numerama qui est le plus fouillé).
Mon billet s’intéresse tout simplement à la façon dont les médias donnent à voir ce problème aux internautes car, on le sait, l’information textuelle glisse si elle n’est pas accrochée à une image dont le rôle est d’accrocher l’œil (notamment lors des partages sur les réseaux sociaux) et de favoriser la visualisation du message.
Plusieurs dizaines de médias ont relayé cette cyberattaque de l’AP-HP. J’en ai parcouru une vingtaine. Le plus souvent, il s’agit d’un copié-collé de la dépêche AFP, présentée dans la rubrique « société » ou bien dans la rubrique « santé », ou encore dans la rubrique « technologies » et parfois – quand même – dans la rubrique « sécurité informatique » (qui ne devrait pas intéresser que les informaticiens – à renommer peut-être?).
Or, la dépêche de l’AFP n’inclut pas d’image. La relayer exige d’ajouter une image, une image dite « prétexte » qui paraîtra « à la une », l’élément que le lecteur, l’internaute verra en premier, qui devra attirer son regard, qui restera mentalement le support visuel de l’information délivrée. L’image retenue, dans la limite de la banque d’images utilisées, est censée illustrer le vol de données, ou l’évoquer au mieux, disons au moins mal.
L’objet de mon billet est donc de regrouper les différentes images choisies par les uns et les autres pour « supporter » la nouvelle de la cyberattaque de l’AP-HP.
La question se pose de l’efficacité de ces images, entre les écouvillons, les soignants, les cartes vitales, les murs de l’hôpital et les écrans d’ordinateurs.
N’y aurait pas intérêt à réfléchir plus sérieusement à cette question?
Un commentaire