"La Vie Hospitalière"

mercredi 22 septembre 2021

L’AP-HP porte plainte suite à une attaque informatique sur son service sécurisé de partage de fichiers

L’Assistance Publique - Hôpitaux de Paris - AP-HP - a porté plainte ce jour, auprès du Procureur de la République de Paris, après avoir constaté le vol de fichiers contenant des données nominatives, à la suite d’une attaque informatique conduite au cours de l’été et confirmée le 12 septembre dernier






L’attaque a porté sur un service sécurisé de partage de fichiers hébergé et utilisé par l’AP-HP, qui lui permet d’assurer le stockage et le partage sécurisé de fichiers, en interne et en externe.


Pour transmettre à l’Assurance Maladie et aux Agences Régionales de Santé des données issues de laboratoires de biologie médicale utiles au suivi et à l’accompagnement des personnes (contact tracing), ce service a été utilisé de manière très ponctuelle en septembre 2020, en complément du système d’information national de dépistage (SI-DEP), dont l’AP-HP assure la maîtrise d’œuvre pour le compte du ministère des Solidarités et de la Santé et qui rencontrait des difficultés techniques dans ses outils de transmission. Le système d’information national de dépistage (SI-DEP) n’est pas lui-même concerné par l’attaque.


Les fichiers dérobés concernent environ 1,4 million de personnes, presque exclusivement pour des tests réalisés mi-2020 en Île-de-France.


Ils incluent l’identité, le numéro de sécurité sociale et les coordonnées des personnes testées, l’identité et les coordonnées des professionnels de santé les prenant en charge, les caractéristiques et le résultat du test réalisé. 

Aucune autre donnée médicale que celles strictement liées à la réalisation du test n’est concernée.


Les premières investigations suggèrent que le vol pourrait être lié à une récente faille de sécurité de l’outil numérique de partage de fichiers acquis par l’AP-HP et hébergé sur ses propres infrastructures techniques.


Les investigations se poursuivent pour déterminer l’origine et le mode opératoire de cette attaque.


Les accès à ce service ont été immédiatement coupés en attendant la fin de ces investigations.


La Commission nationale de l'informatique et les libertés (CNIL) a été notifiée des faits constatés.


Un signalement a été fait par l’ANSSI et une plainte a été déposée par l’AP-HP auprès des autorités judiciaires.


Les investigations ne montrent pas à ce jour d’autres fuites de données ni d’intrusion dans les autres systèmes de l’AP-HP.


Toutes les personnes concernées, à qui l’AP-HP présente ses excuses, seront informées individuellement dans les prochains jours.


L’AP-HP rappelle que le fait d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données d’un traitement automatisé constitue un délit pénal.





En savoir plus sur la protection sur Internet :


Site cybermalveillance.gouv.fr

https://www.cybermalveillance.gouv.fr

Site de la Commission Nationale sur l'Informatique et les Libertés

https://www.cnil.fr

Site de l’Agence nationale de la sécurité des systèmes d'information

https://www.ssi.gouv.fr



Source : aphp.fr

Pour plus d'informations 






Note de "La Vie Hospitalière"


Normalement, les rapports des tests sont transmis par l’intermédiaire du système d’information national de dépistage (SI-DEP).  https://portail-sidep.aphp.fr

Ceci démontre la vulnérabilité des systèmes utilisés et remet en cause la sécurité même des données personnelles centralisées. Il convient donc d'avoir un minimum de données à divulguer. Ceci marque la fin probable du pass sanitaire qui ressemble plus à un gadget qu'autre chose, car foncièrement inutile. 


Enregistrement des résultats de tests antigéniques dans SI-DEP

L’enregistrement des résultats des tests antigéniques et autotests supervisés peut se faire par le professionnel de santé via le portail SI-DEP dédié : portail-sidep.aphp.fr.

Pour les tests antigéniques uniquement, il peut aussi se faire par l’intermédiaire de logiciels compatibles avec SI-DEP dont vous trouverez la liste ci-dessous actualisée au 26 août 2021 :

éOS (Fédération Française de Sauvetage et de Secourisme),

Ordoclic (Ordoclik’),

Pharmacovid (Pharmasoft SAS),

Fastcovid (SIL-LAB),

Bimedoc (Bimedoc),

Magenet (MagentineHealthcare),

Izymeet (ITEKCOM),

Libheros (Lib-heros SAS),

RDV by QuizCoach (Quiz Coach),

VALWIN Pharma (VALWIN)

  

Pour plus d'information







...


Aucun commentaire: