La fuite des données de santé de 500 000 Français révèle l’immaturité du secteur médical en matière de privacy
Les leçons à tirer d’une violation de données historique
Historique par son ampleur, l’incident révélé cette semaine par Libération coche toutes les cases du scénario catastrophe : des données ultra-sensibles à la merci des pirates, une solution informatique trop ancienne et mal sécurisée, un prestataire qui nie toute responsabilité et des anomalies évidentes dans la gestion de la crise.
Il doit impérativement provoquer une prise de conscience du secteur de la santé quant à l’urgence de muscler sa gouvernance des données.
Pourquoi est-ce important ? 👀
C’est la première fuite de cette ampleur en France. Elle concerne les données de 500 000 patients français et inclut l’identité complète, les coordonnées, le médecin traitant, le numéro de sécurité sociale, des mots de passe et surtout des données de santé comme les interventions médicales, la grossesse, la maladie, la séropositivité ou encore les handicaps.
Ces données sont disponibles gratuitement depuis plusieurs mois. Elles peuvent être téléchargées par n’importe quel acteur malveillant et utilisées aux fins classiques : usurpation d’identité, phishing, chantage, etc. On retrouve parmi les personnes concernées des personnalités de premier plan.
Cet incident majeur révèle ce que beaucoup suspectaient déjà : le secteur médical, en France comme ailleurs, n’a toujours pas pris conscience des menaces qui pèsent sur les données qu’il manipule et des efforts importants de sécurisation et de gouvernance qu’il a encore à réaliser.
Plus précisément, que s’est-il passé ? 🧐
La fuite a été repérée pour la première fois le 14 février par Damien Bancal, auteur du blog Zataz. Le fichier, proposé gratuitement au départ dans des boucles Telegram puis sur des sites web, proviendrait de laboratoires de biologie médicale utilisant tous le même logiciel de saisie de renseignements, commercialisé par la société Dedalus France.
D’après Dedalus France, l’incident pourrait être causé par des extractions de fichier réalisées au moment de migrer depuis une ancienne version du logiciel, plus vendue ni maintenue, vers une nouvelle solution. Son directeur général a déclaré à Libération : “Les clients que vous nous avez cités sont des clients qui ont migré d’une version Mega-Bus vers un autre système. (…) Ce n’est pas une faille du logiciel : c’est un moment particulier où les données ne sont plus dans le logiciel mais dans un fichier”.
À en croire les investigations du site NextInpact, Dedalus va toutefois avoir du mal à échapper à toute forme de responsabilité. Elle a en effet licencié pour faute grave, à l’automne dernier, un salarié qui avait alerté sa hiérarchie sur une importante faille de sécurité. Deux mois plus tard, début décembre, elle était victime d’une cyberattaque.
Quel est le contexte ? 🌍
La révélation de cette fuite intervient quelques jours seulement après l’annonce par Emmanuel Macron d’un plan d’investissement d’un milliard d’euros pour la cybersécurité des entreprises, des administrations mais aussi des hôpitaux.
En mars 2020, au début du premier confinement, c’est l’APHP qui avait été victime d’une cyberattaque, au terme d’une vague d’offensives contre les hôpitaux français, et avait dû couper l’accès externe aux mails et les outils de télétravail. Mais aucune fuite de données n’avait été reportée.
Dans un rapport annuel sorti cette semaine, IBM affirme que les attaques contre les organisations médicales ont doublé de volume depuis le début de la pandémie de COVID-19. Dans une période où ils ne peuvent se permettre aucune interruption de service, les acteurs du secteur de la santé sont des victimes rêvées pour les ransomware et les piratages.
Et maintenant ? ⏭
La CNIL a annoncé ce mercredi l’ouverture d’une enquête. Elle peut s’étonner de n’avoir à aucun moment été prévenue de la fuite, alors d’une part que le RGPD impose de notifier toute violation de données personnelles sous 72 heures, et d’autre part que l’ANSSI (son pendant en matière de cybersécurité) est dans la boucle depuis novembre.
L’enquête de la CNIL visera à préciser les responsabilités entre les laboratoires à l’origine de la fuite et Dedalus. Pour mémoire, les sanctions peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires, la plus élevée des deux sommes pouvant être retenue.
En pleine pandémie, cette affaire illustre le retard pris par le monde de la santé dans la sécurisation et la gouvernance des données personnelles. Un retard que le COVID-19 ne suffit pas à expliquer et que le secteur doit impérativement s’attacher à rattraper, sous peine de voir les incidents de ce genre se multiplier.