Des données médicales de près de 500 000 patients français, qui s’échangent gratuitement dans des communautés de cybercriminels. La fuite de données identifiée par Zataz et exposée par une enquête de Libération ce 23 février 2021 est particulièrement critique.
Le règlement général sur la protection des données, le fameux RGPD européen destiné à protéger les citoyens contre les abus dans la gestion des données, distingue les « données sensibles » parmi les « données personnelles ». Ces données sensibles doivent faire l’objet d’une protection encore plus renforcée de la part des responsables de traitement, c’est-à-dire de la part des organisations qui collectent ces données, mais aussi toutes celles qui y ont accès à un moment ou un autre. Or la fuite est truffée de ce type de données : groupe sanguin, numéro de sécurité sociale, et d’autres commentaires sur la santé du patient.
Un logiciel de saisie des données comme point commun
D’après Libération, les données proviendraient de laboratoires, et auraient été collectées entre 2015 et 2020. La majorité d’entre elles datent de 2018 et 2019. Le journal relève que les laboratoires ont en point commun l’utilisation d’un même logiciel de saisie des renseignements médico-administratifs, développé par Dedalus France. Il ajoute que c’est également cette entreprise qui installe et maintient le parc informatique pour le compte des établissements.
Dedalus France avait déjà été mentionné par Next Inpact en octobre 2020. Un employé du groupe expliquait qu’il aurait été licencié après avoir tenté d’avertir à multiple reprise son employeur au sujet de failles de sécurité dans ses logiciels. Un procès aux Prud’hommes est en cours. L’entreprise s’était défendue vivement auprès de TIC Santé. « Il n’y a pas de faille de sécurité et il n’y en a jamais eu », lançait alors Didier Neyrat, directeur général délégué de Dedalus France. Un mois et demi plus tard, en décembre 2020, TIC Santé à nouveau, exposait que Dedalus était victime d’une attaque rançongiciel. Mais encore une fois, Didier Neyrat rassurait : « A priori, il n’y a eu aucun vol de données et comme nous avons bloqué l’attaque, il n’y aura pas de paiement de rançon. »
La circulation de cette fuite dans les communautés de malfaiteurs a de quoi inquiéter, alors que le gouvernement s’est rendu la semaine dernière au chevet d’hôpitaux touchés par des rançongiciels. Le président Emmanuel Macron a dans la foulée annoncé une série de mesures pour renforcer la protection des établissements de santé contre les cyberattaques. Ils pourraient en avoir besoin au plus vite.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !