Publié le : 16 septembre 2021
Sécurité : Les hôpitaux de Paris ont été victimes d’une fuite de données au cours de l’été, concernant les données de 1,4 million de personnes testées pour le Covid en île de France en 2020. L’APHP annonce déposer plainte.
Par Louis Adam | Jeudi 16 Septembre 2021 – https://www.zdnet.fr/actualites/vol-de-donnees-l-aphp-porte-plainte-39929305.htm
L’Assistance Publique – Hôpitaux de Paris (APHP) a annoncé avoir déposé plainte hier suite à une fuite de données ayant affecté ses services au cours de l’été 2021. Dans un communiqué, l’APHP explique que cette fuite de données concernait 1,4 million de personnes, « presque exclusivement pour des tests réalisés mi-2020 en Île-de-France. »
Les données dérobées incluent « l’identité, le numéro de sécurité sociale et les coordonnées des personnes testées, l’identité et les coordonnées des professionnels de santé les prenant en charge, les caractéristiques et le résultat du test réalisé. » L’APHP assure que les personnes concernées par la fuite de données seront informées individuellement dans les prochains jours.
Une solution de secours à l’origine de la faille
L’APHP explique avoir identifié la fuite de données le 12 septembre : l’attaque aurait exploité une « faille de sécurité de l’outil numérique de partage de fichiers acquis par l’AP-HP et hébergé sur ses propres infrastructures techniques. » Cet outil n’est pas nommé directement par l’APHP, mais semble être une solution commerciale déployée de manière ponctuelle pour venir pallier les problèmes de transmissions rencontrées par le système d’information national de dépistage (SI-DEP). L’APHP indique dans son communiqué que les accès à ce service ont été coupés en attendant la fin des investigations.
Si l’APHP assure qu’aucune autre donnée n’est concernée par cette fuite, l’organisme précise également que les investigations sont toujours en cours pour déterminer le mode opératoire et l’origine de l’attaque. Un signalement a été déposé auprès de la CNIL et de l’Anssi, et une plainte a été déposée auprès des autorités judiciaires, précise l’APHP.
La santé dans le viseur
En début d’année 2021, un fichier de données de santé concernant un peu plus de 500 000 citoyens français avait été diffusé librement sur le net. Quelques jours auparavant, c’était un fichier contenant des identifiants de 50 000 comptes appartenant à des agents hospitaliers qui avait été diffusé sur le net. L’APHP avait également été visée par des attaques ddos en au mois de mars 2020.
En parallèle, plusieurs hôpitaux ont été victimes d’attaques de ransomware, poussant le gouvernement à annoncer un plan de financement des projets de sécurisation des ressources informatiques dans le secteur des hôpitaux et à renforcer les obligations du secteur en matière de cybersécurité. Interrogé sur ce sujet, Guillaume Poupard avait précisé la semaine dernière que « 13 CHU étaient déjà considérés comme opérateurs d’importance vitale » et que le gouvernement avait fait passer une centaine d’établissements sous le régime des « opérateurs de services essentiels » (OSE) tel que défini par la directive NIS en début d’année 2021. « Le fait est que les hôpitaux ne croyaient pas trop à la réalité de la menace, jusqu’aux attaques de rançongiciels qui ont frappé plusieurs établissements en début d’année. Mais le passage sous le statut d’OSE donne des résultats excellents, sans que ce soit encore complètement satisfaisant » commentait Guillaume Poupard.