Les données médicales figurent désormais parmi les informations les plus recherchées sur les marchés criminels numériques. Plusieurs études et rapports de cybersécurité ont montré que leur valeur peut dépasser largement celle des données de cartes de crédit, parfois de plusieurs fois selon le type de données et le contexte de revente. Cette réalité économique troublante révèle un problème structurel majeur : nos systèmes de santé publics, déjà sous pression budgétaire, accumulent un retard considérable en matière de cybersécurité. Alors qu’une carte bancaire compromise peut être annulée en quelques minutes, un dossier médical volé contient des informations durables et difficilement modifiables — numéro d’assurance sociale, historique de prescriptions, diagnostics ou autres renseignements sensibles — qui peuvent faciliter des fraudes sophistiquées pendant des années.
La valeur marchande supérieure des données de santé s’explique par leur potentiel criminel multiple. Les recherches et enquêtes sur la fraude démontrent que ces informations peuvent servir à commettre des fraudes à l’assurance maladie, détourner des prestations pharmaceutiques, obtenir des soins sous une fausse identité ou encore usurper l’identité de victimes pour diverses activités frauduleuses. Contrairement aux transactions financières, qui font souvent l’objet d’une surveillance automatisée intensive, les anomalies dans les systèmes de santé peuvent passer inaperçues pendant de longues périodes, laissant aux criminels une fenêtre d’exploitation considérable. Le coût social dépasse largement la dimension économique : des personnes voient leur crédit affecté, rencontrent des difficultés avec leurs assurances ou doivent faire corriger des informations erronées dans leur dossier médical.
Les failles de sécurité dans nos établissements de santé publics sont largement documentées, tandis que les ressources consacrées à leur correction demeurent souvent insuffisantes. De nombreuses analyses montrent que le secteur de la santé investit généralement une part plus faible de ses ressources technologiques en cybersécurité que le secteur financier, même si les proportions exactes varient selon les pays et les organisations. Les hôpitaux fonctionnent encore fréquemment avec des logiciels désuets, des protocoles d’accès inadéquats et un personnel insuffisamment formé aux risques numériques. Cette situation n’est pas un accident : elle découle en partie de décennies de contraintes budgétaires qui ont priorisé les soins directs au détriment de l’infrastructure informatique, créant une vulnérabilité systémique que les cybercriminels exploitent méthodiquement.
La tension entre logique marchande et intérêt collectif devient ici particulièrement visible. Pendant que les données de santé acquièrent une valeur économique croissante — légalement pour certaines entreprises technologiques, illégalement dans les réseaux criminels — leur protection demeure une responsabilité publique souvent sous-financée. Cette asymétrie est intenable : nous confions nos informations les plus sensibles à des systèmes qui ne disposent pas toujours des moyens nécessaires pour les protéger adéquatement. Le contraste avec le secteur privé est frappant : les institutions financières, responsables de données certes sensibles mais plus directement liées aux flux monétaires, déploient généralement des dispositifs de sécurité dont plusieurs établissements de santé peinent encore à se doter.
Des solutions concrètes existent et nécessitent une volonté politique ferme. L’établissement de normes obligatoires de cybersécurité pour tous les établissements de santé, avec des audits indépendants réguliers, constituerait un premier pas essentiel. Les sanctions pour négligence en matière de protection des données doivent être substantiellement renforcées afin de créer une incitation réelle à l’investissement préventif. Un financement public dédié à la modernisation des infrastructures informatiques hospitalières s’impose, accompagné d’une gouvernance publique stricte des données de santé qui limite leur commercialisation. Enfin, la formation continue obligatoire du personnel soignant aux enjeux de cybersécurité doit devenir une norme professionnelle. Le coût de ces mesures est considérable, certes, mais dérisoire comparé au prix que paient déjà les victimes de ces violations et au coût social d’un système de santé dont la fiabilité informationnelle s’érode.
