L'Assistance Publique - Hôpitaux de Paris (AP-HP) annonce avoir porté plainte après avoir constaté un vol de fichiers qui concernent des centaines de milliers de personnes testées dans le cadre du dépistage de la Covid-19. Des failles de sécurité ont facilité la cyberattaque.
L'AP-HP vient de subir un sérieux couac sur le plan des données personnelles. L'établissement public a en effet été victime d'un vol massif qui résulte d'une cyberattaque menée dans le courant de l'été, assaut confirmé le 12 septembre. Mercredi, l'AP-HP a évoqué une attaque informatique de grande ampleur, directement portée sur un service sécurisé de partage de fichiers, hébergé et utilisé par l'établissement. Le service en question permet à l'AP-HP de stocker et de partager des fichiers à la fois en interne et en externe. Les données d'environ 1,4 million de personnes sont concernées.
La défaillance sécuritaire du système de substitution mis en place par l'AP-HP
De façon très transparente, l'Assistance publique - Hôpitaux de Paris indique que le service touché fut utilisé en septembre 2020 en soutien et en complément du système d'information national de dépistage (SI-DEP), qui rencontrait alors des problèmes techniques. Précisons-le : ce n'est pas le SI-DEP qui est concerné par l'attaque, mais bien le système sécurisé de partage de fichiers, le système ici de substitution de l'AP-HP.
Ce dernier avait permis, à ce moment-là, de transmettre des données utiles au contact tracing (suivi et accompagnement des personnes) à l'Assurance Maladie et aux différentes Agences Régionales de Santé, dans le cadre des tests de dépistage de la Covid-19.
Personnes testées et soignants : tous sont concernés par le vol de données
Parmi les données volées, on retrouve l'identité, le numéro de sécurité sociale et les coordonnées de 1,4 million de personnes, testées autour de la mi-2020 dans la région Île-de-France. L'identité et les coordonnées des professionnels de santé sont aussi dans le lot, tout comme les caractéristiques et les résultats des tests réalisés.
L'AP-HP, qui précise avoir fait un signalement à l'ANSSI (Agence nationale de sécurité des systèmes d'information), a également notifié l'incident à la CNIL (Commission nationale de l'informatique et des libertés), comme l'exige le RGPD dès qu'un vol de données est constaté. Une plainte a par ailleurs été déposée sur le bureau du Procureur de la République de Paris, après le vol. L'établissement public précise son intention de contacter individuellement les personnes concernées dans les prochains jours.
Des failles de sécurité qui posent question
D'un point de vue technique, l'AP-HP nous informe que « les premières investigations suggèrent que le vol pourrait être lié à une récente faille de sécurité de l’outil numérique de partage de fichiers acquis par l’AP-HP et hébergé sur ses propres infrastructures techniques ».
En d'autres termes, l'Assistance publique - Hôpitaux de Paris a bien été victime de failles logicielles de sécurité, qui témoignent d'un certain manque de compétences informatiques au sein de certaines grandes institutions qui utilisent donc, au quotidien pour certaines, des systèmes dits « sécurisés », mais garnis de brèches multiples. Une carence dénoncée par de nombreux acteurs du secteur de la cybersécurité ce jeudi matin.
Source : AP-HP
