Une cyberattaque sur le système informatique de l'Assistance publique-Hôpitaux de Paris (AP-HP) a permis le vol des données d'environ 1,4 million de personnes ayant effectué un test de dépistage en septembre 2020.
Le fichier national des tests de dépistage (SI-DEP) ne serait pas concerné par cette attaque informatique opérée durant l'été et détectée le 12 septembre, mais bien un service mis en place ponctuellement dans le cadre du contact tracing. Ce dispositif était utilisé en septembre 2020 pour transmettre à l'assurance-maladie et aux ARS les informations utiles au suivi des cas contacts. Ces données portent sur l'identité, le numéro de Sécurité sociale et les coordonnées des personnes testées « jusqu'à mi-2020 en Île-de-France », selon le communiqué de l'AP-HP. De même, les pirates se sont emparés de l'identité et des coordonnées des professionnels de santé prenant en charge ces personnes, tout comme des caractéristiques et du résultat du test réalisé. En revanche, aucune autre donnée médicale n'a pu être dérobée, ce système n'en contenant pas.
Une plainte a été déposée par l'AP-HP auprès du procureur de Paris et la Commission nationale de l'informatique et des libertés (CNIL) a ouvert une enquête sur cette nouvelle violation des donnés. L'AP-HP précise que les premières investigations mettent en évidence une récente faille de sécurité de l’outil numérique de partage de fichiers acquis par l’AP-HP et hébergé sur ses propres infrastructures techniques. « Les investigations se poursuivent pour déterminer l’origine et le mode opératoire de cette attaque », informent les Hôpitaux de Paris, assurant que les accès à ce service « ont été immédiatement coupés en attendant la fin de ces investigations ».
Selon l'AFP, le ministère de la Santé a indiqué, lui aussi, avoir décidé de porter plainte afin « que toute la lumière soit faite sur cette fuite, ses conséquences, et que toutes les mesures nécessaires soient prises pour qu'un tel événement ne se reproduise pas ». Les personnes concernées par cette cyberattaque, environ 1,4 million, seront personnellement informées, indique l'AP-HP.
C'est la deuxième fois en un mois qu'un scandale frappe la protection des données personnelles en lien avec les tests Covid. Fin août, le site « Médiapart » avait révélé que les résultats des tests Covid et les données personnelles de 700 000 personnes étaient facilement accessibles, en quelques clics, en raison d'une brèche sur le logiciel de Francetest. Une société qui offrait ses services aux professionnels habilités à réaliser les tests mais qui ne figurait pas sur la liste de plateformes autorisées par le ministère de la Santé.
Dispensation
Renouvellement exceptionnel porté à 3 mois : oui, mais pour quelles spécialités ?
Lancée par l’Ordre des Pharmaciens
Dossier Pharma, une application pour consulter son Dossier pharmaceutique
DASRI
Délivrance d’autotest VIH : pensez-vous à remettre une boîte jaune ?
Exercice professionnel
Traitements chroniques : renouvellement à l'officine possible pour 3 mois