Piratage : les données de 1,4 million de tests Covid dérobées à l’AP-HP

Par

Publié le 16/09/2021

Crédit photo : PHANIE

Nom, prénom, numéro de Sécurité sociale, coordonnées mais aussi des informations liées au professionnel de santé… Les données médicales d’1,4 million de Franciliens ont été dérobées, dans un fichier utilisé par l’Assistance publique-Hôpitaux de Paris. L’AP-HP a ainsi annoncé avoir été victime d’une attaque informatique au cours de l’été, piratage confirmé le 12 septembre dernier.

Ce vol – qui relève d’un délit pénal – a ciblé un service de partage de fichiers, utilisé par l’AP-HP pour échanger des données de manière sécurisée et les stocker en interne et en externe. Ce service a fonctionné « de manière très ponctuelle en septembre 2020 » pour « transmettre à l’Assurance-maladie et aux agences régionales de santé des données issues de laboratoires de biologie médicale utiles au suivi et à l’accompagnement des personnes (contact tracing) », indique l’AP-HP. Un outil de transfert de données recensant les résultats de tests covid, utilisé en complément de SI-DEP lorsque la plateforme rencontrait des problèmes techniques.

La grande majorité des patients concernés par ce vol de données sont ceux ayant réalisé un test « mi-2020 en Île-de-France », précise l’AP-HP, qui leur présente ses excuses et promet qu’ils seront « informés individuellement dans les prochains jours ». « Les investigations ne montrent pas à ce jour d’autres fuites de données ni d’intrusion dans les autres systèmes de l’AP-HP », rassure l’Assistance publique.

Faille de sécurité

Alors que les cyberattaques contre les centres hospitaliers se multiplient, à l'AP-HP les premières investigations suggèrent que le vol « pourrait être lié à une récente faille de sécurité de l’outil numérique de partage de fichiers acquis par l’AP-HP et hébergé sur ses propres infrastructures ». L’enquête se poursuit quant à l’origine précise de cette attaque et le mode opératoire utilisé. L’AP-HP a porté plainte, tout comme le ministère de la Santé.

Les faits ont également été signalés à la Commission nationale de l'informatique et des libertés (Cnil) et l'Agence nationale de sécurité des systèmes d'information (Anssi). La Cnil a indiqué mercredi soir avoir « ouvert une enquête sur cette violation ».