Des données médicales de près de 500 000 patients français, qui s’échangent gratuitement dans des communautés de cybercriminels. La fuite de données identifiée par Zataz et exposée par une enquête de Libération ce 23 février 2021 est particulièrement critique.

Le règlement général sur la protection des données, le fameux RGPD européen destiné à protéger les citoyens contre les abus dans la gestion des données, distingue les « données sensibles » parmi les « données personnelles ». Ces données sensibles doivent faire l’objet d’une protection encore plus renforcée de la part des responsables de traitement, c’est-à-dire de la part des organisations qui collectent ces données, mais aussi toutes celles qui y ont accès à un moment ou un autre. Or la fuite est truffée de ce type de données : groupe sanguin, numéro de sécurité sociale, et d’autres commentaires sur la santé du patient.

Un logiciel de saisie des données comme point commun

D’après Libération, les données proviendraient de laboratoires, et auraient été collectées entre 2015 et 2020. La majorité d’entre elles datent de 2018 et 2019. Le journal relève que les laboratoires ont en point commun l’utilisation d’un même logiciel de saisie des renseignements médico-administratifs, développé par Dedalus France. Il ajoute que c’est également cette entreprise qui installe et maintient le parc informatique pour le compte des établissements.

Image d'erreur

Les données s’échangeaient dans des communautés de malfaiteurs. // Source : Louise Audry pour Numerama

Dedalus France avait déjà été mentionné par Next Inpact en octobre 2020. Un employé du groupe expliquait qu’il aurait été licencié après avoir tenté d’avertir à multiple reprise son employeur au sujet de failles de sécurité dans ses logiciels. Un procès aux Prud’hommes est en cours. L’entreprise s’était défendue vivement auprès de TIC Santé. « Il n’y a pas de faille de sécurité et il n’y en a jamais eu », lançait alors Didier Neyrat, directeur général délégué de Dedalus France. Un mois et demi plus tard, en décembre 2020, TIC Santé à nouveau, exposait que Dedalus était victime d’une attaque rançongiciel. Mais encore une fois, Didier Neyrat rassurait : « A priori, il n’y a eu aucun vol de données et comme nous avons bloqué l’attaque, il n’y aura pas de paiement de rançon. »

La circulation de cette fuite dans les communautés de malfaiteurs a de quoi inquiéter, alors que le gouvernement s’est rendu la semaine dernière au chevet d’hôpitaux touchés par des rançongiciels. Le président Emmanuel Macron a dans la foulée annoncé une série de mesures pour renforcer la protection des établissements de santé contre les cyberattaques. Ils pourraient en avoir besoin au plus vite.

une comparateur meilleur vpn numerama

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.