L’APHP a annoncé avoir été victime au cours de l’été d’une cyberattaque, visant un service « sécurisé » de partage de fichiers, lors de laquelle ont été dérobées les données, y compris médicales, de 1,4 million de personnes testées au Covid mi-2020.
Il n’y a pas que des services non homologués qui se font voler les données de personnes testées au Covid-19. L’Assistance Publique - Hôpitaux de Paris vient de révéler par voie de communiqué un vol de fichiers concernant environ 1,4 million de personnes, « presque exclusivement pour des tests réalisés mi-2020 en Île-de-France ». L’attaque a eu lieu dans le courant de l’été, et a été confirmée dimanche.
Cette attaque visait un « service sécurisé de partage de fichiers hébergé et utilisé par l’AP-HP ». Cet outil a été utilisé à la marge par les Hôpitaux de Paris pour stocker et transmettre à l’Assurance Maladie et aux ARS, en complément du SI-DEP, des résultats de test « de manière très ponctuelle en septembre 2020 », nous apprend l’AP-HP. Or une faille de sécurité aurait récemment été découverte dans ledit service, et l’enquête à ses débuts estime que le vol pourrait y être lié.
Un an de conservation ?
Désireux de savoir quel est ce mystérieux outil de partage, ou encore les raisons du stockage sur ce service utilisé « ponctuellement » de données de test datant d’un an, nous avons tenté, sans succès, de joindre l’AP-HP. Surtout quand SI-DEP a pour délai légal de conservation des résultats de tests trois mois après réalisation, étendu à six mois par la loi relative à la gestion de la crise sanitaire de juillet 2021. Dans son communiqué, l’établissement de santé indique avoir coupé les accès à ce service en attendant la fin de son enquête. L’AP-HP a porté plainte et notifié la Cnil ainsi que l’Anssi.
Sont concernées par ce vol 1,4 millions de personnes, résidant ou de passage en Île-de-France mi-2020. Parmi les données dérobées, leur identité, leurs coordonnées, leur numéro de sécurité sociale, l’identité et les coordonnés des professionnels de santé qui les ont prises en charge ainsi que les résultats et les caractéristiques des tests effectués. « Aucune autre donnée médicale que celles strictement liées à la réalisation du test n’est concernée » précise l’AP-HP. Nous voilà rassurés…