À la suite d’une cyberattaque, les données de santé de 1,4 millions de personnes traitées par 39 hôpitaux de l’Assistance Publique-Hôpitaux de Paris ont été volées.
Les données attaquées concernent le nom, prénom, numéro de sécurité sociale et le résultat de tests COVID effectués en 2020 en Ile de France. L’Assistance Publique-Hôpitaux de Paris et le ministère de la Santé ont porté plainte.
Ce n’est pas le premier incident qui concerne des données de santé dans le cadre de tests de dépistage du Covid-19. Il y a peine quinze jours, la plateforme « France test » informait 700 000 personnes que leurs données avaient été accessibles pendant plusieurs mois, le protocole URL des serveurs présentant une faille liée au défaut de mise à jour de sécurité.
Se pose la question de savoir si ces plateformes, qui contiennent des millions de données sensibles, sont suffisamment protégées contre le risque de cyberattaque, car c’est à cause d’une « récente faille de sécurité », dont l’origine reste encore à identifier à ce jour, que les hackers ont pu récupérer des fichiers stockés, hébergés et utilisés par les Hôpitaux de Paris. La CNIL a été saisie afin d’enquêter sur cet incident.
L’obligation d’hébergement sur des hébergeurs certifiés « HDS » répondant à un certain nombre d’exigences en termes de sécurité n’est donc pas suffisante pour assurer l’intégrité des données de santé des français.
Ces failles sont constatées sur des outils ou des plateformes faisant le lien entre des pharmacies, des hôpitaux ou des laboratoires et le SI-DEP (le fichier national de dépistage du COVID) ou les organismes tels que l’Assurance Maladie. Les attaques sont donc ciblées sur ces outils de transmission de données relatives au COVID.
La mise en place d’exigences sécuritaires complémentaires pourrait être envisagée pour ces nouveaux acteurs qui profitent des besoins créés par la crise du COVID pour vendre leurs solutions numériques, parfois au détriment de la confidentialité de nos données de santé. L’urgence a donc créé le besoin et exposé en même temps l’intégrité des données sensibles aux attaques corrélatives à la crise que nous traversons.
Nous répondons à toutes vos questions sur ce sujet, que vos données aient été volées ou que vous ayez créé un outil que vous souhaitez sécuriser et mettre en conformité.
Ecrit par Audrey Decima et Cassandre Julien