Softway Medical a accepté de faire un point complet sur la cyberattaque massive ayant exposé les données de 750 000 patients français, révélant les coulisses d'un piratage par usurpation d'identité au sein d'un établissement d'Aléo Santé.
On sait désormais que l'un des établissements d'Aléo Santé a été victime d'une cyberattaque, entraînant la mise en vente de données de 750 000 dossiers patients sur le dark web, comme nous vous l'avons révélé sur notre site mercredi. Le logiciel Mediboard, sur lequel le hacker a pu piocher des informations personnelles et médicales, est utilisé par l'établissement, sous licence on-premise (donc en local), et est hébergé par un tiers.
Le Groupe Softway Medical, éditeur du logiciel dont il faut souligner la transparence dans cette affaire, n'est rappelons-le pas responsable de l'hébergement des données. Il a néamoins mobilisé ses équipes pour aider à sécuriser la solution. L'entreprise aixoise a d'ailleurs répondu à nos 7 questions, ce jeudi 21 novembre, pour nous en dire plus sur sa gestion de la crise, son soutien à Aléo Santé et la cyberattaque, facilitée par une usurpation d'identité sur un compte à privilèges, qui a permis l'exfiltration de données.
Tout est parti d'une compromission du côté d'un établissement d'Aléo Santé
Plus de 48 heures après la découverte de la faille ayant abouti à la mise en vente de 750 000 données de patients sur le dark web, on en sait plus sur l'origine de la fuite, et l'établissement d'où elle est partie. Softway Medical Ville le rappelle, « notre analyse initiale, le mardi 19 novembre vers midi, pointait vers un établissement Aléo Santé », un groupement de 12 établissements (cliniques et EHPAD) au site internet pas très frais.
« Les indices concordaient vers l’utilisation d’un compte applicatif, lequel aurait été compromis », d'une manière encore inconnue, peut-être un vol ou la découverte d'un mot de passe possiblement de faible niveau. « 48h plus tard, cette hypothèse reste confirmée, même si des analyses forensiques (ndlr : l'examen de preuves numériques après incident) sont actuellement conduites par l’établissement, épaulé par un CSIRT et le CERT Santé, pour apporter une preuve formelle de l’origine et du mode opératoire », complète Softway Medical.
L'éditeur du logiciel Mediboard, Softway Medical, est hors de cause
Notre second point tourne autour de l'hébergement des données. Évidemment, on comprend que l'éditeur du logiciel Mediboard se refuse à révéler le nom de l'hébergeur de données de santé (HDS) de l'établissement concerné. Nous sommes en mesure de préciser qu'il est Français.
« Nous rappelons néanmoins que l’hébergement n’est pas réalisé par le Groupe Softway Medical, et que l’établissement concerné opère lui-même la solution Mediboard et a contractualisé avec un hébergeur tiers HDS », ajoute le groupe, ce qui met ici hors de cause le software et l'éditeur. Le groupe annonce d'ailleurs que l'établissement ne manquera pas de communiquer des informations complémentaires, sans doute quand l'investigation aura progressé.
Oui, la compromission est définitivement sécurisée
Si l'on se plonge dans les coulisses de cet incident de sécurité, quel rôle a joué Softway Medical ces deux derniers jours, pour accompagner l'établissement d'Aléo Santé ? « En tant que fournisseur d’une solution applicative, notre rôle s’inscrit plus généralement dans le devoir de conseil. Nous avons eu des contacts réguliers avec le DSI (directeur des systèmes d'information) de l’établissement pour le conseiller sur les mesures techniques et réglementaires appropriées. »
Désormais, Softway va assister l'établissement dans son analyse forensique (forensic en anglais) pour monter un dossier de preuves étayant les hypothèses évoquées ces dernières heures.
À ce stade, on se demande de manière légitime si la compromission du compte applicatif à privilèges de l'établissement est définitivement sécurisée. Et Softway Medical nous répond par l'affirmative. « Dès notre analyse d'origine de la compromission trouvée, nous l'avons partagée avec l'établissement. Celui-ci a pris un certain nombre de mesures le 19 novembre entre 13h et 14h, qui ont permis de sécuriser le compte applicatif ».
De notre côté, en tant que média, il était de notre devoir d'informer le public de cette fuite, repérée bien plus tôt, aux alentours de 8h50 du matin. Mais la courtoisie, la déontologie et la sécurité ont voulu que nous laissions le temps aux différentes parties de stabiliser la situation, et que nous le prévenions avant de lancer notre article.
Des processus peut-être à renforcer pour limiter les risques
L'autre question que l'on peut se poser concerne les effets de bord sur les clients de Softway Medical. « Ces dernières 48 heures ont été source d'inquiétude pour nos clients comme pour nos collaborateurs, à cause de la désinformation qui a circulé. Notre cellule de crise a été activée immédiatement pour gérer la communication autour de cet incident », une mission il est vrai pas toujours évidente.
« Grâce à nos efforts collectifs, nous avons réussi à inverser la tendance médiatique qui nous présentait comme victime d'une cyberattaque, tout en clarifiant que notre logiciel MediBoard n'est pas impliqué dans cet incident », indique le groupe.
Même si Softway Medical et le logiciel Mediboard ne sont pas en cause, rappelons-le, il y aura peut-être un travail à accomplir en aval, notamment pour prodiguer une meilleure hygiène des mots de passe aux différents comptes à privilèges, ou renforcer les processus d'identification, voire ajouter des garde-fous supplémentaires. « Nous avons pris soin d'information tous nos clients afin de les rassurer sur notre engagement envers leur sécurité », ajoute Softway Medical.
Des équipes sur le pont, et un rappel des bonnes pratiques
Quant aux moyens mis en place par Softway Medical pour surmonter cette crise, là aussi, nous avons été curieux. « Notre certification 27001 / HDS nous conduit à documenter les procédures à utiliser en cas d’incident de sécurité majeure. En l’occurrence, pour ce type d’incident, nous constituons une cellule de crise constituée de plusieurs équipes : RSSI, investigation technique, communication, juridique ainsi que certains membres du comité de direction », explique le groupe installé dans les Bouches-du-Rhône.
Les équipes de l'intégrateur de solutions de santé, qui auront fait preuve d'une accessibilité assez rare – et appréciable – en temps de crise, rappellent que d'un point de vue réglementaire, l'établissement concerné par la fuite doit/devra communiquer aux patients, épaulé par la Commission nationale de l'informatique et des libertés (CNIL), comme le veut la réglementation en vigueur.
Softway Medical, et c'est notre septième et dernier point, a profité de ces dernières heures « pour communiquer à nouveau à l’ensemble de (ses) clients sur les bonnes pratiques de gestion des comptes utilisateurs, notamment pour ce qui concerne le cycle de vie, la revue d’accès, les revues d’habilitation et les politiques d’authentifications et mots de passes », ce qui fait écho à ce que nous expliquions un peu plus haut. Aux patients touchés maintenant de faire attention et de se méfier de tout SMS, e-mail ou appel suspect en lieu avec leur situaton médical. Dans tous les cas, au moindre doute, contactez rapidement vos interlocuteurs habituels.
21 novembre 2024 à 11h06
