Paris, France – Victime d’une attaque informatique cet été visant à voler des fichiers contenant des données nominatives d’1,4 million de personnes ayant réalisé des tests Covid en septembre 2020, l’Assistance Publique - Hôpitaux de Paris (AP-HP) a porté plainte mercredi dernier auprès du Procureur de la République de Paris, a annoncé l’Institution dans un communiqué [1]. Toutes les personnes concernées, à qui l’AP-HP présente ses excuses, seront informées individuellement dans les prochains jours, est-il précisé.
Les données d’1,4 million de personnes dérobées
L’attaque a porté sur un service sécurisé de partage de fichiers hébergé et utilisé par l’AP-HP, qui lui permet d’assurer le stockage et le partage sécurisé de fichiers, en interne et en externe. Elle n’a pas concerné le principal système d’information national de dépistage (SI-DEP) mais un système complémentaire de transmission à l’Assurance Maladie et aux Agences Régionales de Santé des données issues de laboratoires de biologie médicale utiles au suivi et à l’accompagnement des personnes (contact tracing), précise la direction de l’AP-HP.
Les fichiers dérobés concernent tout de même environ 1,4 million de personnes, presque exclusivement pour des tests Covid réalisés mi-2020 en Île-de-France.
« Ils incluent l’identité, le numéro de sécurité sociale et les coordonnées des personnes testées, l’identité et les coordonnées des professionnels de santé les prenant en charge, les caractéristiques et le résultat du test réalisé. Aucune autre donnée médicale que celles strictement liées à la réalisation du test n’est concernée », indique le communiqué.
Des failles informatiques récurrentes
Les premières investigations suggèrent que le vol pourrait être lié à une récente faille de sécurité de l’outil numérique de partage de fichiers acquis par l’AP-HP et hébergé sur ses propres infrastructures techniques. Des investigations plus approfondies sont actuellement en cours pour déterminer l’origine et le mode opératoire de cette attaque. Un signalement a été fait par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et une plainte a été déposée par l’AP-HP auprès des autorités judiciaires.
Cet épisode de piratage informatique n’a rien d’une première. « Rien qu’en 2020, 27 cyberattaques majeures ont touché les établissements de santé français », avait affirmé le secrétaire d'État à la transition numérique Cédric O. Dans ce monde du piratage, les hôpitaux sont considérés comme des cibles de choix, notamment parce qu’ils sont « à la bonne taille pour être la cible du gros des attaques », expliquait Laurent Besset, directeur cyber-défense de la société I-Tracing, spécialisée en cybersécurité à Medscape en juin dernier. Si les motivations sont avant tout économiques, elles peuvent aussi être politiques comme dans le cas de la cyberattaque qui avait visé les Autorités européennes de régulation des médicaments (EMA), à propos des documents relatifs au développement du vaccin anti-Covid-19 de la compagnie pharmaceutique américaine Pfizer et de son partenaire allemand BioNTech.
Crédit photo de Une : Getty Images
Actualités Medscape © 2021 WebMD, LLC
Citer cet article: Victime d’un piratage informatique, l’APHP porte plainte - Medscape - 17 sept 2021.
Commenter