Les Hôpitaux de Paris ont déposé plainte ce mercredi 15 septembre à la suite d'une cyberattaque. Les pirates ont réussi à voler les données médicales de plus d'un million de personnes qui avaient effectué des tests de dépistage contre le Covid-19. De son côté, la CNIL a également ouvert une enquête.

Les Hôpitaux de Paris ont publié un communiqué officiel ce mercredi 15 septembre 2021 dans lequel ils annoncent porter plainte auprès du Procureur de la République de Paris après une cyberattaque survenue durant l'été 2021 et confirmée ce 12 septembre dernier. Comme l'explique l'institution, l'attaque en question a permis le vol des données médicales de plus d'un million de patients qui avaient effectué des tests de dépistage contre le Covid-19 au sein des différents établissements hospitaliers du groupe.

Il est précisé que l'attaque a porté sur un service sécurisé de partage de fichiers hébergés et utilisé par l'APHP, qui lui permet d'assurer le stockage et la partage sécurisé de fichiers en interne comme en externe. En effet, ce service était notamment utilisé pour transmettre à l'Assurance Maladie et aux agences régionales de santé certaines données utiles pour le “contact tracing“, en d'autres termes le suivi des cas contacts, notamment via TousAntiCovid.

À lire également : Faux certificats de vaccination – elle écope d’un an de prison ferme après avoir généré 200 faux QR codes

Les données d'1,4 million de patients compromises

Ce service a été utilisé en complément de celui du système d'information nationale de dépistage (SI-DEP), qui d'ailleurs n'a pas été visé par cette cyberattaque. Parmi les données subtilisées, on trouve l'identité des patients, le numéro de sécurité sociale ainsi que leurs coordonnées. Sont également mentionnées “l'identité et les coordonnées des professionnels de santé les prenant en charge, les caractéristiques et le résultat du test réalisé”. L'APHP ajoute qu'aucune autre donnée médicale que celles liées à la réalisation du test n'a été compromise.

Pour l'institution, les pirates ont profité d'une faille de sécurité présente dans l'outil numérique mentionné plus haut qu'elle utilise pour le partage de fichiers. Après confirmation de l'attaque, l'APHP a évidemment fermé l'accès à cet outil, et il le restera durant toute la durée des investigations. Par ailleurs, les Hôpitaux de Paris ont signalé les faits à la CNIL, la Commission nationale de l'informatique et des libertés, qui a décidé d'ouvrir une enquête sur cette violation.

L'ANSSI, l'Agence nationale de sécurité des systèmes d'information, a également été informée. Quant au ministère de la Santé, il a également décidé de porter plainte “afin que la lumière soit faite sur cette fuite, ses conséquences, et que toutes les mesures soient prises en compte pour qu'un tel évènement ne se reproduise pas”. Pour rappel, en février 2021 les fichiers médicaux de 500 000 patients français ont été piratés et s'étaient retrouvés sur le net.

Source : APHP