Un risque pour les patients. Les données de santé piratées de plus de 750 000 patients d’un établissement de santé francilien ont été mises en vente mardi, a confirmé l’expert en cybersécurité Damien Bancal.
Egalement interrogé, le ministère de la Santé a confirmé avoir été informé de cette cyberattaque par l’Agence régionale de santé (ARS) Île-de-France.
Sur un site Internet, un utilisateur anonyme a proposé à la vente un fichier contenant les données personnelles de 758 912 personnes. “Nous ne pouvons pas être sûrs de la fiabilité de ces chiffres”, précise néanmoins Damien Bancal, également auteur du blog zataz.com.
Selon le hacker, qui a révélé en ligne un échantillon des données dérobées, le fichier mis en vente contiendrait des éléments sensibles : outre les noms, prénoms, adresses email et postales et dates de naissance, des informations médicales comme l’identité de le traitement ou les prescriptions du médecin seraient particulièrement concernés.
La proposition de vente comportait le nom de Mediboard, un logiciel médical déployé dans les établissements de santé, ainsi que le nom de plusieurs hôpitaux privés.
Interrogée, la société Softway Medical, éditrice de Mediboard, a toutefois indiqué que la fuite ne concernait pas le logiciel lui-même mais un établissement de santé du groupe Aléo qui l’utilise. « Les données de santé de l’établissement ne sont pas hébergées chez Softway Medical », explique Déborah Draï, responsable de la communication de l’entreprise.
Aléo Santé regroupe 14 cliniques ou centres de santé et trois maisons de retraite à Paris et dans le sud de la région parisienne, selon son site internet. Le groupe n’a pas immédiatement répondu aux demandes.
“Les mesures liées à ce type d’incidents sont mises en œuvre par le groupe Aléo en lien avec les différentes autorités concernées”, a précisé le ministère, ajoutant que “cet événement n’a pas d’impact sur la continuité des soins et la sécurité des soins”.
“Avec toutes ces informations, nous pouvons créer des bases de données de plus en plus précises et qui sont certainement le meilleur moyen de connaître votre future victime afin de réaliser du phishing ciblé, pour peut-être faire un faux appel bancaire”, a commenté Benoit Grunemwald, cybersécurité. expert chez ESET, société spécialisée dans le domaine.
Depuis le début de la semaine, plusieurs entreprises ont été victimes de fuites de données. La revue Le Point a ainsi confirmé que ses lecteurs étaient concernés, sans en dévoiler le nombre. Direct Assurance, filiale du groupe Axa, a également indiqué que 5.800 de ses clients étaient concernés. Leurs noms, prénoms, adresses email et Iban (numéro de compte bancaire international) ont été volés.
