Encore une fuite dont les hôpitaux et cliniques se seraient bien passés. Les données de santé piratées de plus de 750 000 patients d’un établissement de santé francilien ont été mises en vente mardi 19 novembre, a affirmé l'expert en cybersécurité Damien Bancal à l'AFP. Interrogé également, le ministère de la Santé a confirmé avoir été informé de cette cyberattaque par l’agence régionale de santé (ARS) Île-de-France.
Sur un site internet, un utilisateur anonyme a proposé à la vente un fichier contenant les données personnelles de 758 912 personnes. « On ne peut pas être sûr de la fiabilité de ces chiffres », a néanmoins précisé ce même expert.
Selon le pirate, qui a dévoilé en ligne un échantillon des données volées, le fichier mis en vente contiendrait des éléments sensibles : outre les noms, prénoms, adresses électroniques et postales et dates de naissance, des informations médicales telles que l'identité du médecin traitant ou les ordonnances seraient concernées.
La fuite ne concernerait pas le logiciel
Sur la proposition de vente des données piratées figurait le nom de Mediboard, un logiciel médical déployé dans des établissements de santé, ainsi que le nom de plusieurs hôpitaux privés. La société Softway Medical, éditrice de Mediboard, a toutefois assuré, après investigations, que la fuite ne concernait pas le logiciel lui-même mais un établissement de santé du réseau Aléo Santé qui l'utilise. « Les données de santé concernées de l'établissement ne sont pas hébergées chez Softway Medical », a insisté Déborah Draï, responsable de la communication de l'entreprise.
D’après RTL, l’établissement médico-chirurgical visé par la cyberattaque est la clinique Alleray-Labrouste, située dans le XVe arrondissement de Paris. La société Softway Medical restait cependant discrète ce vendredi. « Ce n’est pas à nous de confirmer ce genre d’informations à ce stade de l’enquête », indique au Quotidien Déborah Draï. Contactés également, ni le ministère de la Santé ni l’agence régionale de santé (ARS) n’ont pour l’instant confirmé l’identité de l’établissement ciblé par le hacker et l’ampleur du piratage.
La plateforme en ligne Aléo Santé regroupe 14 cliniques ou centres de santé et trois maisons de retraite à Paris et dans le sud de la région parisienne, selon son site internet. « Les mesures associées à ce type d'incident sont en cours de mise en œuvre par le groupe Aléo en lien avec les différentes autorités concernées », a précisé le ministère, ajoutant « que cet évènement n'a pas d'impact sur la continuité des prises en charge et la sécurité des soins ».
Selon Softway Medical, un seul établissement client a été ciblé par la cyberattaque, même si, selon RTL, le hacker aurait affirmé, sur un forum de cybercriminels, avoir accès illégalement aux données de quatre autres établissements de la région parisienne : la clinique Jeanne d’Arc de Saint-Mandé, l’hôpital privé de Thiais, la clinique Saint-Isabelle de Neuilly-sur-Seine et le centre Luxembourg à Paris, qui font aussi partie du groupe Aléo Santé.
Vague de cyberattaques cette semaine
Quels sont les risques de ces intrusions et vols de données ? « Avec toutes ces informations, on peut créer des bases de données qui sont de plus en plus précises et qui sont certainement le meilleur moyen de connaître sa future victime pour lui faire de l'hameçonnage ciblé, pour lui faire peut-être un faux appel bancaire », a commenté auprès de l’AFP Benoit Grunemwald, expert cybersécurité chez ESET, société spécialisée dans le domaine.
Depuis le début de la semaine, plusieurs entreprises ont été victimes de fuites de données. Le magazine Le Point a confirmé que ses lecteurs ont été touchés, sans en dévoiler le nombre. Direct Assurance, filiale du groupe Axa, a indiqué que 15 000 de ses clients étaient concernés. Leurs noms, prénoms, adresses électroniques ont été dérobés, ainsi que leur Iban pour 5 800 d'entre eux, a précisé l'entreprise.
L’Igas veut inciter tous les hôpitaux à déployer des actions de prévention primaire
À l’hôpital psychiatrique du Havre, vague d’arrêts de travail de soignants confrontés à une patiente violente
« L’ARS nous déshabille ! » : à Saint-Affrique, des soignants posent nus pour dénoncer le manque de moyens
Ouverture du procès d'un homme jugé pour le viol d'une patiente à l'hôpital Cochin en 2022