Des données de dépistage du Covid-19, hébergées et utilisées par l’Assistance Publique des Hôpitaux de Paris afin de faciliter « le contact tracing », ont été volées durant l’été. L’attaque a été confirmée le 12 septembre. Elle concerne 1,4 millions de personnes, principalement en Ile de France. L’AP-HP a porté plainte le 15 septembre 2021.
La cyber-attaque porte sur les noms et les coordonnées des patients et des professionnels de santé, le numéro de sécurité sociale de la personne testée, ainsi que les caractéristiques et le résultat du test. Selon l’AP-HP, « aucune autre donnée médicale que celles strictement liées à la réalisation du test n’est concernée ». Les personnes, dont les données ont été piratées, seront informées « dans les prochains jours ».
Le piratage concerne « un service sécurisé de partage de fichiers hébergé et utilisé par l’AP-HP, qui lui permet d’assurer le stockage et le partage de fichiers, en interne et en externe ». Une faille de sécurité de cet outil pourrait être en cause. Ces faits ont été notifiés à la Commission nationale de l’informatique et les libertés (Cnil). Cette dernière précise « En 2020, les affaires de vols de données le concernant avaient déjà augmenté de 80% ». De même, un signalement a été effectué auprès de l’Agence nationale de sécurité des systèmes d’information (Anssi) (cf. La protection des données de santé priorité numéro un de la CNIL pour 2020, Rapport de la CNIL : des plaintes toujours plus nombreuses dans le domaine de la santé).
De son côté, le ministère de la santé a lui aussi « décidé de porter plainte », afin « que toute la lumière soit faite sur cette fuite, ses conséquences, et que toutes les mesures nécessaires soient prises pour qu’un tel événement ne se reproduise pas ».
Sources : Hospimedia, Thomas Quéguiner (16/09/2021) ; AFP (15/09/2021) ; Stratégies (17/09/2021).