Vol de données : l’AP-HP porte plainte

Vol de données : l’AP-HP porte plainte

L’Assistance Publique – Hôpitaux de Paris (AP-HP) a annoncé avoir déposé plainte hier suite à une fuite de données ayant affecté ses services au cours de l’été 2021. Dans un communiqué, l’AP-HP explique que cette fuite de données concernait 1,4 million de personnes, « presque exclusivement pour des tests réalisés mi-2020 en Ile-de-France ».

Les données dérobées incluent « l’identité, le numéro de sécurité sociale et les coordonnées des personnes testées, l’identité et les coordonnées des professionnels de santé les prenant en charge, les caractéristiques et le résultat du test réalisé ». L’AP-HP assure que les personnes concernées par la fuite de données seront informées individuellement dans les prochains jours.

publicité

Une solution de secours à l’origine de la faille

L’AP-HP explique avoir identifié la fuite de données le 12 septembre : l’attaque aurait exploité une « faille de sécurité de l’outil numérique de partage de fichiers acquis par l’AP-HP et hébergé sur ses propres infrastructures techniques ». Cet outil n’est pas nommé directement par l’AP-HP, mais semble être une solution commerciale déployée de manière ponctuelle pour venir pallier les problèmes de transmission rencontrés par le système d’information national de dépistage (SI-DEP). L’AP-HP indique dans son communiqué que les accès à ce service ont été coupés en attendant la fin des investigations.

Si l’AP-HP assure qu’aucune autre donnée n’est concernée par cette fuite, l’organisme précise également que les investigations sont toujours en cours pour déterminer le mode opératoire et l’origine de l’attaque. Un signalement a été déposé auprès de la CNIL et de l’Anssi, et une plainte a été déposée auprès des autorités judiciaires, précise l’AP-HP.

La santé dans le viseur

En début d’année 2021, un fichier de données de santé concernant un peu plus de 500 000 citoyens français avait été diffusé librement sur le net. Quelques jours auparavant, c’était un fichier contenant les identifiants de 50 000 comptes appartenant à des agents hospitaliers qui avait été diffusé sur le net. L’AP-HP avait également été visée par des attaques DDoS au mois de mars 2020.

En parallèle, plusieurs hôpitaux ont été victimes d’attaques de ransomware, poussant le gouvernement à annoncer un plan de financement des projets de sécurisation des ressources informatiques dans le secteur des hôpitaux et à renforcer les obligations du secteur en matière de cybersécurité. Interrogé sur ce sujet, Guillaume Poupard précisait la semaine dernière que « 13 CHU étaient déjà considérés comme opérateurs d’importance vitale » et que le gouvernement avait fait passer une centaine d’établissements sous le régime des « opérateurs de services essentiels » (OSE), tel que défini par la directive NIS en début d’année 2021. « Le fait est que les hôpitaux ne croyaient pas trop à la réalité de la menace, jusqu’aux attaques de rançongiciels qui ont frappé plusieurs établissements en début d’année. Mais le passage sous le statut d’OSE donne des résultats excellents, sans que ce soit encore complètement satisfaisant », commentait Guillaume Poupard.

Leave a Reply

Your email address will not be published. Required fields are marked *