Si l'information financière a indéniablement la cote sur le marché noir, certaines données personnelles aussi semblent très convoitées. Stijn Jans, associé directeur chez The Security Factory, nuance néanmoins ce constat pour les hôpitaux. " Tout dépend évidemment des patients qu'accueille l'établissement visé. Le dossier médical du roi, par exemple, vaut son pesant d'or... mais dans la majorité des cas, les hackers sont surtout intéressés par l'information financière et plus précisément par les flux financiers qu'ils peuvent influencer. Il suffit parfois de mettre la main sur un seul numéro de compte crucial pour s'enrichir ! " Les hôpitaux, eux, craignent surtout l'impact sur leur image d'une fuite de données-patients, ajoute Tom Coolen, directeur informatique à l'az Groeninge. " Ce sont vraiment les joyaux de la couronne. "
Le pire des scénarios pour un établissement de soins ? Qu'un hacker désactive à distance un appareil médical (et donc les patients qui y sont reliés). Il s'agit d'un risque bien réel depuis que ces machines sont fréquemment connectées au réseau, puisqu'un pirate peut en principe les manipuler à distance, voire depuis l'étranger ! L'ancien vice-président américain Dick Cheney, par exemple, a fait désactiver la commande à distance de son pacemaker par crainte qu'un hacker ne coupe le dispositif à son insu.
Le hacking " éthique " l'est-il vraiment ?
Stijn Jans souligne qu'il y a une différence entre les activités d'une entreprise comme The Security Factory et celles d'individus qui se mettent en quête de vulnérabilités sans l'accord préalable de leur cible. " Dans le premier cas (celui, notamment, de l'az Groeninge), les deux parties signent préalablement un contrat qui définit clairement les règles du jeu et spécifie qui va faire quoi à quel moment. " Ce type de hacking éthique existe déjà depuis plus d'une dizaine d'années dans notre pays, et certaines entreprises proposent même des formations dans ce domaine.
Avec la nouvelle directive GDPR (General Data Protection Regulation), qui stipule qu'à partir de 2018, chaque entreprise devra faire davantage d'efforts en faveur de la protection des données électroniques personnelles, la question de la sécurité des données digitales risque d'être mise encore plus à l'avant de l'actualité. " De nombreuses entreprises ressentent dès lors la nécessité d'investir dans ce domaine ", explique Jans.
Dans la seconde forme de hacking éthique, le hacker teste la sécurité d'un site internet ou système à l'insu de sa cible. Il signalera ensuite les vulnérabilités à son propriétaire, mais sans les rendre publiques (" divulgation responsable "). Cette approche peut se comparer à ce que le programme de télévision flamand Koppen a fait il y a quelques années avec notamment l'UZ Leuven - qui a du reste porté plainte, comme il le signale sur son site.
Une troisième catégorie, enfin, est celle des bug bounty-hacks, qui se trouvent un peu entre les deux : dans ce cas de figure, les entreprises ou organisations appellent elles-mêmes les hackers éthiques à rechercher des vulnérabilités dans leurs systèmes et à les leur signaler en échange d'une récompense (bug bounty). Fréquente principalement aux États-Unis, cette approche est utilisée notamment par de grands acteurs comme Facebook ou Google. Chez Google, la notification d'un problème de sécurité majeur peut rapporter jusqu'à 20.000 dollars, tandis que Facebook aurait déjà versé plus de 4,3 millions de dollars à plus de 800 individus depuis le début de son programme de bug bounty, en 2011.
Placer le hacking éthique hors de la sphère pénale
Jusqu'ici, les affaires de données médicales obtenues par des moyens illégaux pour être revendues à des tiers n'ont guère défrayé la chronique dans notre pays. Il n'est toutefois pas simple de se faire une idée globale de cette problématique. Toutes les entreprises et organisations victimes d'un hacking le déclarent-elles, sachant combien cela pourrait ternir leur image ? Pour un hôpital, par exemple, un patient " éliminé " à distance serait vraiment le pire des scénarios...
Si l'information financière a indéniablement la cote sur le marché noir, certaines données personnelles aussi semblent très convoitées. Stijn Jans, associé directeur chez The Security Factory, nuance néanmoins ce constat pour les hôpitaux. " Tout dépend évidemment des patients qu'accueille l'établissement visé. Le dossier médical du roi, par exemple, vaut son pesant d'or... mais dans la majorité des cas, les hackers sont surtout intéressés par l'information financière et plus précisément par les flux financiers qu'ils peuvent influencer. Il suffit parfois de mettre la main sur un seul numéro de compte crucial pour s'enrichir ! " Les hôpitaux, eux, craignent surtout l'impact sur leur image d'une fuite de données-patients, ajoute Tom Coolen, directeur informatique à l'az Groeninge. " Ce sont vraiment les joyaux de la couronne. " Le pire des scénarios pour un établissement de soins ? Qu'un hacker désactive à distance un appareil médical (et donc les patients qui y sont reliés). Il s'agit d'un risque bien réel depuis que ces machines sont fréquemment connectées au réseau, puisqu'un pirate peut en principe les manipuler à distance, voire depuis l'étranger ! L'ancien vice-président américain Dick Cheney, par exemple, a fait désactiver la commande à distance de son pacemaker par crainte qu'un hacker ne coupe le dispositif à son insu.Le hacking " éthique " l'est-il vraiment ? Stijn Jans souligne qu'il y a une différence entre les activités d'une entreprise comme The Security Factory et celles d'individus qui se mettent en quête de vulnérabilités sans l'accord préalable de leur cible. " Dans le premier cas (celui, notamment, de l'az Groeninge), les deux parties signent préalablement un contrat qui définit clairement les règles du jeu et spécifie qui va faire quoi à quel moment. " Ce type de hacking éthique existe déjà depuis plus d'une dizaine d'années dans notre pays, et certaines entreprises proposent même des formations dans ce domaine. Avec la nouvelle directive GDPR (General Data Protection Regulation), qui stipule qu'à partir de 2018, chaque entreprise devra faire davantage d'efforts en faveur de la protection des données électroniques personnelles, la question de la sécurité des données digitales risque d'être mise encore plus à l'avant de l'actualité. " De nombreuses entreprises ressentent dès lors la nécessité d'investir dans ce domaine ", explique Jans. Dans la seconde forme de hacking éthique, le hacker teste la sécurité d'un site internet ou système à l'insu de sa cible. Il signalera ensuite les vulnérabilités à son propriétaire, mais sans les rendre publiques (" divulgation responsable "). Cette approche peut se comparer à ce que le programme de télévision flamand Koppen a fait il y a quelques années avec notamment l'UZ Leuven - qui a du reste porté plainte, comme il le signale sur son site. Une troisième catégorie, enfin, est celle des bug bounty-hacks, qui se trouvent un peu entre les deux : dans ce cas de figure, les entreprises ou organisations appellent elles-mêmes les hackers éthiques à rechercher des vulnérabilités dans leurs systèmes et à les leur signaler en échange d'une récompense (bug bounty). Fréquente principalement aux États-Unis, cette approche est utilisée notamment par de grands acteurs comme Facebook ou Google. Chez Google, la notification d'un problème de sécurité majeur peut rapporter jusqu'à 20.000 dollars, tandis que Facebook aurait déjà versé plus de 4,3 millions de dollars à plus de 800 individus depuis le début de son programme de bug bounty, en 2011.