Durant l’été, l’Assistance Publique-Hôpitaux de Paris (AP-HP) a été la cible d’une attaque informatique de grande ampleur. Celle-ci a abouti à un vol majeur de données médicales de 1,4 million personnes. Ainsi, les hackers se sont emparé d’informations personnelles concernant de multiples tests de dépistage Covid. Ceux-ci ayant été réalisés en 2020. L’AP-HP a informé la presse de ce vol mercredi dernier.
Des informations sensibles mais limitées
Dans le détail, les données dérobées sont principalement l’identité et le numéro de Sécurité sociale de personnes testées en Ile-de-France. Par ailleurs, ces informations concernent aussi l’identité et les coordonnées des professionnels de santé qui ont effectué les tests, ainsi que leurs résultats. Cette nouvelle attaque digitale subie par l’Assistance Publique-Hôpitaux de Paris n’est pas la première de ce type. En effet, depuis le début de la pandémie, on observe un net accroissement de ce type de cyberattaques, visant des établissements de santé. Plus précisément, des hôpitaux. Pour empêcher de futures tentatives de fraude, l’institution parisienne a précisé dans un communiqué qu’elle allait informer individuellement chaque personne concernée. Cela, « […] dans les prochains jours ».
Une plainte déposée
L’ampleur de cette attaque a été totalement validée par les services spécialisés de l’AP-HP. Cela, en date du 12 septembre. Ensuite, cette découverte a entraîné une plainte, déposée ce mercredi auprès du procureur de Paris. Par ailleurs, ce délit caractérisé a également été signalé à l’Agence Nationale de Sécurité des Systèmes d’Information, l’ANSSI. De même qu’à la Commission Nationale de l’Informatique et des Libertés, la CNIL. Enfin, suite à cette attaque majeure, le ministère de la Santé va également porter plainte. Dans le but qu’un tel incident ne se reproduise pas.
Un mode opératoire détourné
Pour obtenir ces données confidentielles, les pirates n’ont pas cherché à violer le fichier national des tests de dépistage. En fait, ils ont préféré cibler un service sécurisé de partage de fichiers, portant sur des informations de tracing, pourtant protégées. Récemment, ce service avait momentanément servi à transmettre des informations à l’Assurance Maladie et aux Agences Régionales de Santé.
Vol majeur de données médicales : un hacking préoccupant
Après cette cyberattaque, l’Assistance Publique-Hôpitaux de Paris a admis qu’elle a pu se produire via « […] une récente faille de sécurité de l’outil numérique ». Plus précisément, en utilisant des accès dont l’institution se sert d’habitude pour partager des fichiers. Immédiatement après la découverte du vol des données, l’AP-HP a déclaré qu’elle avait fermé ces accès. Une précaution maintenue tant que l’enquête sur ce délit informatique durera. En attendant, la direction de l’AP-HP a déclaré que les investigations policières vont continuer. Cela, afin de comprendre précisément le procédé utilisé par les pirates pour réussir ce vol majeur de données médicales.
- A lire aussi, notre précédent article sur la cybersécurité des hôpitaux
- Le Bulletin des Communes vous suggère aussi les informations du site de la CNIL