Fuite de données de santé : la CNIL sanctionne l’éditeur logiciel Dedalus

Fuite de données de santé : la CNIL sanctionne l’éditeur logiciel Dedalus

Pour Dedalus, la facture est salée. Plus d’un an après l’affaire de la fuite de données de santé ayant affecté 500 000 citoyens français, la CNIL vient de rendre public un avis informant qu’elle avait infligé une amende de 1,5 million d’euros à la société Dedalus, un éditeur logiciel spécialisé dans le développement de logiciels à destination des laboratoires médicaux.

Cet éditeur avait déjà été pointé du doigt à plusieurs reprises pour son implication dans l’affaire, plusieurs médias ayant ainsi indiqué que le point commun entre les différents laboratoires affectés par la fuite de données semblait être leur utilisation des solutions de Dedalus. Quelques mois avant la fuite, le magazine NextInpact avait déjà épinglé les failles de sécurité identifiée par un ex-employé de Dedalus, et que l’éditeur tardait à corriger.

La délibération de la CNIL offre plus de précision sur l’origine de la fuite en question : suite à ses différents contrôles, la Commission explique en effet qu’une première fuite de donnée de moindre ampleur avait été constatée au mois de novembre 2020 par les agents de l’Anssi et signalée à l’éditeur logiciel. Suite à la découverte en février 2021 du fichier contenant les données de 500 000 citoyens français, une enquête interne menée par la société Dedalus a été mandatée. Celle-ci « a établi une correspondance entre les données du fichier transmis par l’Anssi et les données présentes sur un serveur FTP hébergé sur le serveur de télémaintenance MEGABUS », Megabus étant le nom d’une solution commercialisée par une filiale de Dedalus.

publicité

Des failles à tous les étages

Le rapport de la CNIL souligne ainsi l’absence de mesures de sécurité mises en place sur ce serveur FTP utilisé par Dedalus pour orchestrer les migrations de données de ses clients : le serveur était librement accessible depuis internet, sans authentification, jusqu’au mois de novembre 2020. Suite au premier signalement de l’Anssi, des contrôles d’authentification ont été ajoutés pour protéger l’accès aux données, mais la CNIL signale que « la zone privée du serveur était accessible avec des comptes utilisateurs partagés entre plusieurs salariés. Or, l’utilisation de comptes partagés fait peser un risque disproportionné, pourtant facilement évitable, sur la sécurité du traitement et augmente considérablement les risques de compromission. »

Outre ce défaut d’authentification, la CNIL indique « qu’aucune procédure de supervision et de remontée d’alertes de sécurité n’était mise en œuvre sur le serveur FTP. Les connexions provenant d’adresses IP suspectes n’étaient donc ni détectées ni traitées. » Et la liste relevée par la CNIL est longue, comprenant : « l’absence de chiffrement, l’absence d’effacement automatique des données après leur migration, l’absence d’authentification requise depuis Internet pour accéder à la zone publique du serveur et l’utilisation de comptes utilisateurs partagés. » Autant de manquements à l’obligation d’assurer la sécurité des données personnelles qui justifient la sanction infligée aujourd’hui par la Commission.

En outre, la Commission a également relevé d’autres points contraires au RGPD au cours de ses contrôles réalisés au sein de Dedalus : elle indique ainsi avoir constaté que Dedalus avait « extrait un volume de données plus important que celui requis » dans le cadre de la migration logicielle vers un autre outil demandée par deux laboratoires, et enfin que les conditions générales de ventes et les contrats de maintenance n’étaient pas conformes au RGPD.

Leave a Reply

Your email address will not be published. Required fields are marked *