Archives par mot-clé : santé

Un sac poubelle remplis de données de santé retrouvé dans la rue

Des informations confidentielles sur les patients d’un espace de santé retrouvées dans une poubelle !

Une nouvelle faille de protection des données impliquant le NHS au Royaume-Uni est attribuée à un étudiant en médecine qui aurait placé trop de confiance dans ses sacs poubelles. Une enquête a été lancée suite à la découverte de données médicales confidentielles éparpillées dans une ruelle de Jesmond, un quartier aisé de Newcastle, dans le nord-est de l’Angleterre. L’étudiant en médecine aurait jeté les documents dans ses déchets domestiques, qui ont été placés dehors pour la collecte, mais par un moyen ou un autre, les documents se sont retrouvés dans une ruelle adjacente à Lonsdale Terrace, où ils ont été découverts par un passant.

Il semble que les documents et les données appartenaient à au moins deux patients et comprenaient une lettre envoyée au médecin d’un patient portant la mention « Privé et Confidentiel« .

Les informations incluaient des détails personnels et sensibles sur les patients. Le Dr Rajesh Nadkarni a déclaré qu' »un étudiant en médecine en stage chez CNTW était en possession d’informations cliniques confidentielles dans le cadre de son travail de stage. […] Tous les étudiants en médecine reçoivent une formation sur la gouvernance de l’information, et les étudiants en stage chez CNTW assistent à une séance d’accueil et reçoivent un dossier d’information qui souligne l’importance de la confidentialité, ainsi que nos politiques et processus qui soutiennent cela.« 

Un peu comme les soignants que je peux croiser et qui continuent de s’envoyer par courriel ou messageries des informations de santé sensibles parce que « C’est plus pratique » ! (TR)

Hausse des attaques d’ingénierie sociale dans le secteur des services d’assistance informatique en santé

Le ministère américain de la santé et des services sociaux (HHS) a récemment publié une alerte à destination des opérateurs de services d’assistance informatique dans le secteur de la santé, signalant une augmentation notable des attaques d’ingénierie sociale. Ces attaques, particulièrement sophistiquées, visent à détourner des fonds vers des comptes bancaires contrôlés par les attaquants.

Selon le bureau de la sécurité de l’information du HHS et le centre de coordination de la cybersécurité du secteur de la santé, les acteurs de la menace procèdent souvent par appel téléphonique, se faisant passer pour des employés des services financiers de l’entreprise ciblée. Ils parviennent à usurper les numéros de téléphone pour qu’ils affichent un indicatif régional qui semble local.

L’alerte précise que ces individus sont capables de fournir des informations personnelles sensibles validant leur fausse identité, telles que les derniers chiffres du numéro de sécurité sociale et d’autres données démographiques, obtenues via des sites de réseautage professionnel ou des violations de données précédentes.

Exploitation des failles de sécurité

L’attaquant prétend souvent que son téléphone est endommagé et qu’il ne peut ni passer d’appels ni recevoir des jetons de vérification multifactorielle (MFA). Cette même ruse est utilisée, depuis quelques semaines, sur WhatsApp. Des parents reçoivent de leur présumé enfant un message sur WhatsApp leur indiquant un changement de numéro. N’y répondez pas, il s’agit d’un piège.

Pour le secteur de la santé, cette ruse l’amène à convaincre le service d’assistance d’enregistrer un nouveau dispositif pour l’accès MFA, permettant ainsi l’accès non autorisé aux ressources de l’entreprise. Une fois cet accès obtenu, les attaquants redirigent les paiements bancaires vers des comptes sous leur contrôle, avant de transférer les fonds à l’international.

Implications pour la sécurité des informations financières

Les attaquants ciblent ensuite les informations de connexion aux sites des payeurs et modifient les instructions ACH pour que les paiements soient redirigés vers des comptes américains qu’ils contrôlent. Ces actions sont souvent suivies par l’accès aux comptes de messagerie des employés, d’où ils envoient des instructions modifiées aux processeurs de paiement.

Le HHS note que des tactiques similaires ont été utilisées par le groupe de menace connu sous le nom de Scattered Spider lors d’une attaque de ransomware contre une organisation du secteur de l’hôtellerie et du divertissement en septembre 2023. De plus, l’usage potentiel d’outils d’usurpation d’identité vocale basés sur l’IA a été signalé comme une complication supplémentaire dans ces attaques.

Mesures recommandées pour renforcer la sécurité

Pour contrer ces menaces, le HHS recommande plusieurs stratégies de mitigation. Parmi celles-ci, l’utilisation de Microsoft Authenticator et/ou Google Authenticator avec correspondance de numéros pour l’authentification, ne plus utiliser les SMS comme option MFA, la sécurisation de l’enregistrement MFA et SSPR en exigeant une authentification depuis un réseau approuvé, et le blocage de l’accès externe aux fonctionnalités d’administration de Microsoft Azure et Microsoft 365 via une stratégie d’accès conditionnel.

Guide CNIL : durées de conservation des données dans le secteur social et médico-social

Dans le domaine complexe et crucial des secteurs social et médico-social, la gestion des données est une préoccupation majeure. Pour aider les acteurs de ces secteurs à naviguer efficacement dans ce paysage, un nouveau référentiel a été élaboré par la CNIL. Son objectif ? Guider de manière opérationnelle les acteurs dans l’identification et la détermination des durées de conservation pertinentes pour les traitements qu’ils mettent en œuvre.

Ce référentiel s’avère être une ressource inestimable pour les responsables de traitement. Il les oriente vers les durées de conservation obligatoires, conformément à la réglementation en vigueur, notamment le code de l’action sociale et des familles ainsi que le code de la santé publique. De plus, il met en lumière les durées recommandées par la CNIL, offrant ainsi des points de repère essentiels pour déterminer la durée pertinente.

Il est important de noter que ce référentiel ne prétend pas à l’exhaustivité. Il se concentre sur les traitements les plus fréquents dans ces secteurs d’activité. Cependant, pour une gestion encore plus efficace des durées de conservation, une fiche pratique dédiée est mise à disposition de tous les acteurs, qu’ils soient salariés, bénévoles, ou autre, afin de leur offrir des recommandations pratiques pour la gestion quotidienne des durées de conservation des données.

Un référentiel indispensable qui, espérons le, pourra éviter de voir des fuites comme celles repérées par le blog ZATAZ, référence mondiale concernant les fuites de données et la lutte contre le cybercrime, ICI et LA.

À qui s’adressent ces ressources ?

Le référentiel et la fiche pratique sont conçus pour répondre aux besoins de l’ensemble des organismes, qu’ils soient privés ou publics, opérant dans les secteurs social et médico-social. Cela inclut, entre autres, les services mandataires et judiciaires à la protection des majeurs (SMJPM), les services d’accompagnement à la vie sociale (SAVS), les établissements et services d’aide par le travail (ESAT), les établissements d’hébergement pour personnes âgées dépendantes (EHPAD), et bien d’autres.

Un guide complet pour aller encore plus loin

Pour ceux qui souhaitent approfondir leurs connaissances en matière de gestion des durées de conservation des données, la CNIL a publié en 2020 un guide pratique plus général. Ce guide a pour objectif de répondre aux questions les plus courantes des professionnels concernant le principe de limitation de la conservation des données. Il détaille les éléments clés de cette obligation et offre des conseils pratiques pour faciliter sa mise en œuvre au sein des organismes, qu’ils soient publics ou privés.

Ce nouveau guide 2023 a été élaboré en partenariat avec le Service interministériel des archives de France (SIAF), et il met en relation les obligations du RGPD (Règlement général sur la protection des données) avec celles du code du patrimoine. Une ressource inestimable pour tous ceux qui cherchent à naviguer dans le labyrinthe complexe de la gestion des données dans le secteur social et médico-social.

Le Royaume-Uni publie une stratégie pour protéger le National Health Service des cyberattaques

Le gouvernement britannique a publié mercredi sa nouvelle stratégie de cybersécurité pour le National Health Service, visant à rendre le secteur de la santé du pays « considérablement durci aux cyberattaques, au plus tard en 2030 ».

Le gouvernement britannique a publié une stratégie de cybersécurité visant à protéger le National Health Service (NHS) contre les cyberattaques d’ici 2030. Cette stratégie a été élaborée suite aux incidents de WannaCry en 2017 et d’Advanced l’année dernière, qui ont mis en évidence les risques que les attaques peuvent poser sur la fourniture de soins de santé.

Bien que la stratégie indique que le NHS est mieux protégé contre les attaques non ciblées, elle souligne qu’il reste des défis importants nécessitant des améliorations continues de la cybersécurité dans le secteur. Les incidents liés aux rançongiciels constituent désormais la majorité des réunions de gestion de crise du gouvernement britannique « Cobra ».

La stratégie vise à façonner un objectif commun à travers les soins de santé et sociaux contre les risques les plus critiques. Toutefois, le NHS n’étant pas un organisme unique, mais un ensemble décentralisé de plusieurs systèmes de santé publics fournis par des milliers d’organisations de santé et de services sociaux distincts, chaque organisation doit assumer la responsabilité de sa propre cybersécurité. Pour aider les organisations de santé et de protection sociale, le gouvernement a mis en place un centre d’opérations de cybersécurité (CSOC) surveillant les systèmes locaux dans tout le pays pour détecter les premiers signes de cyber-vulnérabilités et inscrivant plus de 1,67 million d’appareils sur Microsoft Defender pour Endpoint.

Cartographier les fournisseurs

En outre, la stratégie prévoit la cartographie des fournisseurs les plus critiques d’ici 2024 et le développement d’un cadre pour soutenir les centres d’opérations de sécurité locaux. Les difficultés auxquelles le gouvernement est confronté dans la protection du NHS découlent de la complexité du secteur, composé de systèmes interdépendants avec des risques et des besoins différents.

La stratégie reconnaît que la cybermenace la plus importante à laquelle le secteur est confronté est le rançongiciel, mais elle met également en garde contre d’autres menaces moins répandues, telles que les acteurs étatiques cherchant à accéder à des informations sensibles, ou des personnes travaillant dans ou à proximité du secteur de la santé et de la protection sociale cherchant à abuser de leur accès privilégié.

Après l’attaque contre le fournisseur de logiciels Advanced l’année dernière, le département de la santé a commencé à analyser la chaîne d’approvisionnement critique, un processus qui comprenait l’essai d’outils d’assurance, l’élaboration d’un plan d’engagement et l’élaboration de critères de criticité. Le NHS développe actuellement un nouveau produit pour cartographier ses fournisseurs les plus critiques d’ici 2024.

Dans une déclaration conjointe publiée parallèlement à la stratégie, le CISO et le directeur exécutif des National Cyber Operations au NHS ont déclaré que chaque organisation de santé et de protection sociale doit assumer la responsabilité de sa propre cybersécurité, avec les équipes de sécurité nationale définissant la direction et fournissant un support central.

Bien que la stratégie soit ambitieuse, il reste encore du travail à faire pour renforcer la cybersécurité dans le secteur de la santé. La publication de cette stratégie est une étape importante dans la protection du NHS contre les cyberattaques, mais cela nécessitera une collaboration continue entre le gouvernement et les organisations de santé et de protection sociale pour renforcer la résilience de l’ensemble du secteur.

Les cyberattaques entraîneraient une augmentation des décès dans les hôpitaux

Les cyberattaques contre les établissements médicaux entraîneraient, selon des chercheurs, une probabilité d’augmentation du taux de mortalité des patients.

L’étude, menée par le Ponemon Institute, un groupe de réflexion à Washington, a interrogé plus de 600 professionnels des technologies de l’information de plus de 100 établissements de santé. Les résultats de l’étude fournissent la preuve la plus concrète à ce jour que le piratage persistant des centres médicaux américains entraîne une détérioration de la qualité des soins aux patients et une augmentation de la probabilité de leur décès.

Les deux tiers des personnes interrogées qui ont subi des attaques de rançongiciels ont déclaré que ces attaques perturbaient les soins aux patients. 59 % des personnes interrogées ont signalé une augmentation de la durée de séjour des patients à l’hôpital, ce qui a entraîné une surcharge des ressources. Près d’un quart ont déclaré que les attaques avaient entraîné une augmentation du nombre de décès dans leurs établissements.

Lors d’une attaque par rançongiciel, les pirates accèdent aux réseaux informatiques d’une organisation, les bloquent et exigent un paiement. Ces dernières années, ces piratages sont devenus un véritable désastre pour le secteur de la santé. Les hôpitaux ne signalent pas toujours les cas dont ils ont été victimes. Cependant, depuis 2018, le nombre d’attaques documentées a augmenté chaque année depuis 2018, atteignant 297 l’année dernière, selon une étude de Recorded Future.

Au cours des trois dernières années, plus de la moitié des organisations de soins de santé de l’enquête ont été infectées par des logiciels malveillants au cours des trois dernières années, selon une étude de Ponemon.

Les établissements de soins de santé vont des chaînes d’hôpitaux géants aux petites cliniques privées avec seulement quelques employés et peu ou pas de professionnels de l’informatique ou de la cybersécurité. Les dernières cyberattaques de Centres hospitaliers, en France, ont remis sur la table cette problématique sécuritaire.

Les grands réseaux hospitaliers peuvent avoir des spécialistes de la sécurité de l’information plus qualifiés, mais ces hôpitaux sont également des cibles plus importantes. Une attaque peut ralentir les soins aux patients dans des centaines d’hôpitaux à travers le pays, comme cela s’est produit lors de l’attaque de 2020 contre les services de santé universels.

« Mais il est clair depuis longtemps que les cyberattaques persistantes contre les hôpitaux font des ravages sur les patients »  indique Korman, vice-président de la société de cybersécurité Claroty.

« Nous savons que les retards d’assistance affectent le taux de mortalité, et nous savons que les cyberattaques causent des retards« , a déclaré le le Ponemon Institute.

RGPD et Ransomware : des actions judiciaires à prévoir dès mai 2018 ?

Votre société a été touchée par un ransomware ? En mai 2018, des actions judiciaires lancées par vos clients pourraient rajouter une couche d’ennuis à votre entreprise.

RGPD et actions judiciaires ! Le 18 janvier 2018, la société américaine Allscripts était touchée par un ransomware. Classique attaque qui chiffre les fichiers des ordinateurs infiltrés. Une cyberattaque possible via le clic malheureux d’un employé sur un mail piégé. Une attaque qui a perturbé l’entreprise, mais aussi directement ses clients. Ces derniers ne pouvaient accéder à leurs dossiers de patients ou de facturation.

Bilan, une plainte de recours collectif (Class action) a été déposée contre Allscripts. Le fournisseur de dossiers de santé électroniques (DSE) va se retrouver devant la justice. Un de ses prestataires, Surfside Non-Surgical Orthopedics, basé en Floride, spécialisé dans la médecine sportive, a déposé une plainte contre DSE.

Actions judiciaires, rançongiciel …

En en raison de l’attaque, Surfside indique qu’il « ne pouvait plus accéder aux dossiers de ses patients ou prescrire électroniquement des médicaments« .  Bilan, rendez-vous annulé, pertes d’argent… Allscripts est l’un des fournisseurs de dossiers médicaux électroniques (DSE) les plus répandus dans le monde.

L’entreprise est toujours à travailler, plusieurs jours après cette « attaque », à restaurer certains de ses systèmes informatiques suite au rançongiciel.

Fait intéressant, le type de ransomware utilisé dans l’attaque [SamSam ransomware] était le même que celui utilisé dans une attaque contre Hancock Health, un autre système de santé basé dans l’Indiana, début janvier 2018. Dans ce cas, les responsables du système de santé ont fermé tout le réseau Hancock Health et ont finalement payé le pirate. Il aurait reçu 55 000 dollars en bitcoin.

SamSam a également été utilisé contre le système de santé intégré MedStar Health, en mars 2016. Bleeping Computer a noté que d’autres attaques ont signalées, impliquant SamSam, dans les machines de l’Adams Memorial Hospital (Indiana).

Les systèmes d’Allscripts desservent environ 180 000 médecins et 2 500 hôpitaux. Il n’est pas clair si la société a payé une rançon.

Un laboratoire de radiologie perd les dossiers médicaux de 9 300 personnes

Laboratoire, perdu, HD ! Que deviennent les données stockées par les professionnels de santé ? Pour le Charles River Medical Associates, sur un disque dur portable perdu. 9.300 dossiers médicaux dans la nature !

Le Charles River Medical Associates est un laboratoire de radiologie américain. Il vient d’avouer (la loi américaine l’impose, NDR) avoir perdu un disque dur contenant 9.387 dossiers médicaux. Des sauvegardes d’informations personnelles et des images radiographiques. Des données de tous ceux qui ont subi une scintigraphie osseuse au depuis 2010. Huit ans d’informations privées, sensibles, sans protection, ni chiffrement.

Le laboratoire a envoyé un courriel, comme va l’imposer le RGPD en France dès le 28 mai 2018, aux patients impactés. Le disque dur « perdu » contient les noms, les dates de naissance, les numéros d’identification des patients et les images de scintigraphie osseuse.

Le groupe de santé a découvert cette disparition en novembre 2017. Il aura attendu trois mois pour alerter les patients ! Le groupe était tenu de signaler cette violation de la vie privée au Département américain de la santé et des services sociaux, ainsi qu’aux médias locaux.

Espace médical infiltré, 1,2 million de données patients volé

Un internaute, s’annonçant comme étant un Anonymous, a volé 1,2 million de données appartenant à des utilisateurs d’un espace médical.

Le piratage de données de santé gagne du terrain. Je vous parlais, il y a peu, de 500.000 dossiers de patients piratés via un portail dédié aux réservations de rendez-vous chez un professionnel de santé. Aujourd’hui, c’est 1,2 millions de britanniques à être concernés par le même problème.

Un internaute, s’annonçant comme étant membre de la communauté Anonymous, a mis la main sur plus d’un million de dossiers de patients via un partenaire de la NHS, le Ministère de la santé Anglais. La fuite serait partie de SwiftQueue. Un portail qui permet aux patients de réserver des rendez-vous avec un médecin généraliste, un hôpital ou une clinique. Un outil qui exploite également des terminaux dans les salles d’attente qui affichent les rendez-vous.

« Je pense que le public a le droit de savoir à quel point les grandes entreprises comme SwiftQueue utilisent des données sensibles. » indique l’internaute. Dénoncer en diffusant les données de personnes qui ne sont pas responsables de la collecte et la sauvegarde de leurs données ? « Ils ne peuvent même pas protéger les détails des patients » termine-t-il.

Le pirate a déclaré à The Sun que le hack exploitait des faiblesses dans le logiciel de SwiftQueue. Faille qui aurait dû être corrigée il y a plusieurs années. Le « visiteur » annonce avoir téléchargé la base de données entière de l’entreprise, contenant 11 millions d’enregistrements, y compris les mots de passe. De son côté SwiftQueue a déclaré que la base de données n’est pas si importante et que leur enquête initiale suggère que seulement 32 501 « lignes de données administratives » ont été consultées.

Un demi million de patients médicaux piratés

Un pirate informatique a mis la main sur 500 000 dossiers appartenant à des patients belges en piratant le site Digitale Wachtkamer.

Le site Digitale Wachtkamer a été piraté ! Ce site dédié à la prise de rendez-vous chez un médecin, par exemple, a été visité et vidé de sa base de données. Selon le journal flamand VTM Nieuws, 500 000 dossiers de patients belges ont été copiés par un pirate informatique. Le pirate informatique me fait penser au maître chanteur Rex Mundi. Après avoir volé les données, il a envoyé un courriel à l’entreprise afin de lui demander de l’argent. Son silence contre 85 000 euros (42 BTCs). Digitale Wachtkamer n’a pas payé et a déposé plainte. Il y a de forte chance que les données de plus de 500 000 utilisateurs finissent sur le web, dans les heures à venir en représailles. D’après Digitale Wachtkamer, aucuns dossiers médicaux n’étaient accessibles, seules les prises de rendez-vous. Digitale Wachtkamera contacté ses utilisateurs afin qu’ils changent leur mot de passe.

Il y a deux ans, un pirate informatique du nom de Rex Mundi avait agit de la sorte à l’encontre de plusieurs entreprises Belges, Suisses et Françaises. En France, le laboratoire de santé Labio avait été la victime de ce type de chantage. Digitale Wachtkamer semble faire parti de ces TROP nombreuses entreprises alertées d’un manque de sécurité, alertée par des hackers et dont les messages sont restées lettres mortes. En 2013, Digitale Wachtkamer avait été alertée d’un manque de sécurité dans son code.

https://twitter.com/JeroenCeyssens/status/887380075557081088

Cybercriminalité 2017 : personne n’est épargné

Cybercriminalité : 6 mois après la publication de ses prédictions pour l’année 2017, ESET® revient sur les tendances essentielles. La multiplication des attaques sur mobiles et IoT, la prise de contrôle des infrastructures critiques, la protection de la vie privée des utilisateurs, les cybermenaces sur le secteur de la santé et l’élargissement des cyberattaques aux gamers. En voici un extrait.

Cybercriminalité et mobiles ! Sur la plateforme Android, de janvier à mai 2017, 255 failles de sécurité ont été découvertes. Il s’agit de près de la moitié du nombre total de failles de l’année 2016. Pour les codes malicieux, 300 nouveaux échantillons de malwares Android sont découverts en moyenne chaque mois […]. De plus, 224 failles de sécurité ont été signalées en mai 2017 sur la plateforme iOS, soit 63 de plus qu’en 2016. Parmi elles, 14% sont considérées comme critiques.

Les infrastructures critiques de type SCADA

Cybercriminalité et l’augmentation et la sophistication d’attaques sur des infrastructures critiques. Le malware Industroyer découvert par ESET au mois de juin en est un parfait exemple. […] ESET précise que les infrastructures critiques ne se limitent pas aux réseaux électriques. À l’ère du numérique, elles englobent de plus en plus les systèmes d’ingénierie tels que les chaînes d’approvisionnement et Internet lui-même.

Protéger la vie privée des utilisateurs, un enjeu mondial

2018 protègera davantage les données des utilisateurs. Grâce au RGPD (GDPR en anglais), ils pourront jouir de leur droit à l’oubli et supprimer/gérer les informations les concernant. Parallèlement, la Chine a également adopté une nouvelle loi […]. Ainsi, de nombreux efforts sont faits à l’échelle internationale afin de légiférer les droits des utilisateurs concernant leur vie privée.

La santé, secteur cible numéro 1

La transformation digitale du secteur de la santé attiret les cybercriminels. Doit-on s’inquiéter du traitement de nos données par les professionnels de santé ? […] En 2017, certains hôpitaux européens notamment du Royaume-Uni (dont 48 services de santé publics) ont dû suspendre leurs services et quelques dispositifs médicaux suite à l’infection de leurs systèmes par des malwares.

L’industrie du jeu vidéo

Les ressources, informations et profils des joueurs sont devenus de plus en plus précieux. Outre les trafics internationaux de comptes volés appartenant à des joueurs et l’obtention de monnaie virtuelle de manière frauduleuse […] ESET a découvert un nouveau type de ransomware, le rensenware : au lieu d’exiger une rançon financière pour récupérer les fichiers chiffrés, il demande à la victime de jouer à un jeu vidéo japonais jusqu’à obtenir un score élevé, le niveau « lunatic ».

Santé et sécurité : peut-on hacker le cœur humain ?

Les appareils utilisés dans le secteur de la santé et les failles de sécurité s’y trouvant inquiètent les chercheurs en sécurité.

Même la branche de la santé ne résiste pas à la tendance croissante de la mise en réseau. Cette interconnexion promet des avantages, autant pour les patients que pour les médecins et le personnel soignant. Mais à côté de ces annonces enthousiastes, on trouve des experts de sécurité qui mettent en garde contre des systèmes potentiellement non sécurisés. G Data tire la sonnette d’alarme.

L’Internet des objets en question

En août 2016, des chercheurs ont trouvé des failles de sécurité un produit connecté du fabricant St. Jude Medical, leader dans la production de stimulateurs cardiaques et défibrillateurs. Sur ce produit, un émetteur/récepteur permet une surveillance à distance des valeurs de l’appareil implanté. En fonction des valeurs, des actions à distances sur l’appareil sont possibles. Seul prérequis : le patient doit se trouver à proximité de l’émetteur. Mais des chercheurs ont démontrés qu’en exploitant certaines failles de sécurité, ils pouvaient également agir sur cet appareil.

Le fabricant a publié une mise à jour qui corrige les vulnérabilités. L’office américaine de contrôle des produits pharmaceutiques et alimentaires (FDA) a rendu l’information publique et informé le personnel médical tout comme les patients sur la mise à jour logicielle nécessaire.

Des failles de sécurité dans les appareils médicaux : rien de nouveau !

En 2015, un chercheur de sécurité allemand a repéré que les standards de sécurité des appareils médicaux dataient des années 1990. Il a pu désactiver la fonction respiratoire d’un appareil d’anesthésie connecté. Son rapport montre que via les failles de sécurité dans le logiciel de contrôle d’une pompe à insuline, les attaquants peuvent administrer une dose mortelle du médicament. La même chose est possible pour les pompes à transfusion utilisées dans les hôpitaux. Tous les appareils médicaux, modernes et connectés qui arrivent aujourd’hui sur le marché sont en retard sur le domaine de la sécurité. Une des raisons est la lenteur des procédures d’autorisations et de certifications.

Intégrer la sécurité dès la conception des appareils

Avec l’augmentation et la popularité croissante des ransomware, des nouveaux scénarios sont envisageables. Des attaquants pourraient demander des rançons en échange de quoi ils n’agiraient pas sur des appareils médicaux maintenant des patients en vie. Pour éviter cela, une coopération efficace entre chercheurs en sécurité et fabricants est indispensable, au niveau des appareils mais aussi au niveau des plateformes connectées qui centralisent les données des patients. Accélérer les processus de certifications est également nécessaire. Enfin, intégrer la sécurité dès la conception des produits « security by design » constitue une étape indispensable pour l’industrie médicale.

L’hygiène informatique dans les hôpitaux, un enjeu de sécurité publique

La numérisation de la société et des services publics n’épargne pas les hôpitaux et autres institutions de soins. Mais depuis plusieurs mois, ces établissements sont la cible de pirates dont les attaques représentent un vrai danger pour l’intégrité de notre système de santé.

Hygiène informatique dans les hôpitaux – C’est un chiffre qui a de quoi étonner : en 2015, en France, 1300 attaques informatiques ont été dirigées contre des établissements de santé, hôpitaux inclus. A l’échelle quotidienne, le chiffre est encore plus saisissant avec une moyenne de 3 à 4 actions malveillantes par jour à l’encontre des systèmes informatiques (SI) de ces établissements. Et encore, on ne parle ici que des actes de piratage officiellement déclarés aux ministères des Affaires sociales et de la Santé. La discrétion observée dans le milieu ne laisse entrevoir que la partie émergée de l’iceberg. Pour des raisons de sécurité mais aussi de réputation…

Aujourd’hui, le bon fonctionnement d’un hôpital dépend toujours de l’organisation et des compétences de son personnel. Mais plus seulement ! Il dépend aussi des outils numériques utilisés à tous les étages. Tous ces équipements connectés qui constituent l’hôpital moderne, désigné officiellement par les pouvoirs publics comme l’hôpital numérique.

A l’accueil par exemple, c’est l’ordinateur qui permet de créer un dossier patient sur le système central de l’établissement. C’est la borne interactive destinée à orienter les visiteurs. En salle d’opération, ce sont les écrans d’aide à l’intervention chirurgicale, les moniteurs de suivi du patient.

Dans le stock de médicaments, ce sont les robots préparateurs en pharmacie. Dans les chambres, c’est le système de divertissement et d’informations médicales consultable par le patient sur tablette tactile.

C’est aussi le réseau Wi-Fi local qui permet au personnel de consulter les dossiers médicaux à partir de n’importe quelle pièce, de n’importe quel support, vers n’importe quelle source, interne ou externe…

15 000 euros de rançon
Chacun de ces appareils connectés à l’avantage de faire gagner du temps, de la précision, et de l’argent. Mais ils ont le principal défaut d’être le plus souvent reliés à un seul et même réseau. Pour des raisons de coût et de négligence…

Un caillou jeté dans cette vitrine technologique, et c’est le fonctionnement de tout l’établissement qui s’en trouve perturber. Le centre médical presbytérien d’Hollywood, aux États-Unis, en a fait l’amère expérience en février 2016.

Un ransomware, baptisé Locky, a été injecté dans le réseau de l’établissement, verrouillant l’accès aux serveurs et ordinateurs utilisés par le personnel. Moyennant une somme négociée à 15 000 euros avec les pirates à l’origine de cette paralysie, le centre a pu retrouver l’accès à son réseau.

En France, quelques semaines plus tard, c’est le centre hospitalier d’Épinal qui était la cible d’une attaque. Croyant recevoir un mail de son avocat, un médecin a cliqué sur la pièce jointe au message. Le geste a contaminé l’ensemble du réseau de l’hôpital. La direction de l’établissement est restée très évasive sur ce piratage, sans confirmer l’attaque du ransomware avancée par le site spécialisé Zataz.

Comme son nom l’indique, le ransomware, ou rançongiciel en français, a vocation à permettre de soutirer une rançon avant de redonner accès aux outils numériques d’un établissement. Où il est ici « seulement » question d’argent.

Mais l’attaque d’un hôpital peut provoquer plus de dégâts, encore hypothétiques aujourd’hui. Tout d’abord sur le matériel, comme l’a expérimenté le spécialiste en cybersécurité, Sergey Lozhkin.

Hygiène informatique dans les hôpitaux

Le vrai-faux pirate a réussi à prendre le contrôle du scanner médical d’un hôpital via le réseau interne wi-fi de l’établissement. Rien de malveillant dans l’intention. Juste la démonstration qu’aux commandes de la machine, il pouvait en dérégler les paramètres, jusqu’à provoquer une panne sur un outil précieux, tant du point de vue médical que financier.

Ce qui peut être fait sur un scanner, peut l’être tout autant sur une climatisation ou, pire, sur un appareil d’assistance branché sur un malade. Et dans ce cas, le changement des paramètres peut alors avoir des conséquences bien plus fatales…

Face à ces attaques, les hôpitaux et autres établissement de santé se donnent-ils pour autant la force d’agir et de réagir ? Oui, pour une grande majorité si l’on se réfère à l’Atlas 2016 des systèmes d’information hospitaliers (SIH). Selon ce rapport annuel délivré par la Direction Générale de l’Offre de Soins (DGOS), 88% des établissements de santé disent avoir engagé une politique de sécurité du système informatique, contre 74% l’année précédente. L’objectif imposé par l’Etat dans son programme Hôpital numérique est de 100% d’ici à 2018.

La sensibilisation du personnel à l’ Hygiène informatique

Mais reste à savoir quels moyens cela implique. Un chiffre relativise cette notion de politique de sécurité : seuls 8% des établissements ont un référent à temps complet. L’implication est plus importante pour les CHU et CHR, avec un Monsieur -ou une Madame- Sécurité SI à temps complet dans 42% des cas. Les autres mutualisent ou externalisent.

Quelle que soit la formule choisie, la politique de sécurité informatique d’un hôpital passe par la sensibilisation de son personnel. Car le point d’entrée le plus vulnérable d’un réseau, c’est bien l’humain. Sa méconnaissance des dangers, comme l’ouverture d’une pièce jointe dans un mail, peut conduire à la catastrophe. Ou l’affichage d’un mot de passe sur un bout de papier collé sur un bureau pour l’ensemble d’un service…

L’hygiène informatique en milieu hospitalier passe aussi par une évaluation de la solidité du réseau et des matériels connectés, des ordinateurs jusqu’à l’IRM. Par une protection anti-virus et l’utilisation de mots de passe complexes, pour accéder au réseau, puis à chacun des appareils connectés. Par une utilisation des derniers logiciels, et un suivi régulier de leurs mises à jour.

Tout comme les infections nosocomiales, les virus informatiques représentent une réelle menace pour les hôpitaux et autres établissements de santé. Ils n’ont donc d’autres choix, aujourd’hui et demain plus encore, que d’appliquer une politique d’hygiène informatique stricte. Il y va de la confidentialité de nos dossiers médicaux, mais aussi et surtout de l’intégrité du système de santé et de son bon fonctionnement au service du public. (Tanguy de Coatpont, directeur général de Kaspersky Lab France)

Big Data et Santé : les données médicales relèvent d’une législation particulière

Les données de santé occupent une place particulière dans le Big Data. Personnelles, sensibles mais aussi confidentielles, les données médicales relèvent d’une législation particulière. Qu’il s’agisse de la gestion d’un établissement de soin ou de la dématérialisation d’un dossier patient, leur nombre ne cesse d’augmenter. Est-il possible d’assurer la protection des données médicales, tout en permettant aux établissements et professionnels de santé de pouvoir les gérer facilement au quotidien ?

Les données de santé, de par leur confidentialité, sont régies par le Code de la santé publique et plus particulièrement par l’article L. 1110-4. Celui-ci définit les conditions de cette protection juridique en autorisant l’échange de données de santé entre l’équipe de soin du même établissement ou des professionnels de santé d’entités différentes mais prenant en charge le même patient, sous réserve que celui-ci bénéficie du droit d’opposition. Par ailleurs, le patient peut accéder à ses données médicales, les faire rectifier, les mettre à jour ou les supprimer s’il le souhaite.

Outre la protection juridique des données, des exigences techniques ont également été mises en place. Il s’agit ici des obligations de protection physique des données pour les professionnels de santé. Ils sont tenus de protéger les informations en les manipulant mais aussi en les stockant dans un environnement sécurisé. Pour cela, ils peuvent les conserver en interne ou faire appel à un hébergeur agréé pour les stocker.

Hébergeur Agrée de Données de Santé

L’agrément « Hébergeur Agrée de Données de Santé » (HADS), a été créé afin de garantir la confidentialité, l’intégrité, la disponibilité et la traçabilité des informations sensibles que constituent les données médicales. Le respect de nombreuses exigences est ici impliqué comme l’authentification forte, le chiffrement des données, la traçabilité des accès etc.

Un cadre légal strict ne veut pas dire la fin de la collaboration au sein des établissements de santé
Aujourd’hui, l’essentiel des informations liées au patient est dématérialisé. Il peut s’agir d’une prescription médicale, de résultat d’analyse, d’un dossier d’hospitalisation ou de tout autre information dont un professionnel de santé peut avoir connaissance. Par ailleurs, les médecins et les hôpitaux ne sont pas les seuls à manipuler des données de santé et à être soumis à cette législation particulière. Par exemple, toute application mobile qui traiterait des données à caractère médical est aussi obligée de passer par un tiers hébergeur agréé. Ce cadre légal concerne donc un volume immensément important de données, d’autant plus que le marché de l’e-santé est en forte croissance.

Ce cadre légal ne doit pas être un frein pour les établissements et professionnels

S’il doit permettre de sécuriser les informations médicales des patients, ce cadre légal ne doit pas être un frein pour les établissements et professionnels de santé dans leur travail quotidien. En effet, ces données regroupent toutes les informations concernant un individu. Si l’on prend l’exemple d’un hôpital, il est important que l’ensemble de l’équipe soignante puisse accéder facilement et rapidement aux informations d’un patient.

Aussi la loi autorise à ce qu’une application puisse se superposer à la couche d’hébergement agrée dans la mesure où celle-ci est compatible avec les prérequis de l’agrément. Ainsi, l’établissement ou le professionnel de santé peut se doter d’une solution de gestion et de partage de fichiers sécurisée compatible avec un hébergeur agrée, et allier à la fois conformité à la loi et collaboration. (Lydie Balfet, NetExplorer)

Google s’ouvre les portes de centaines de milliers de dossiers de santé

Un accord signé entre Google et le National Health Service (NHS) britannique va permettre à Google d’accéder à plus de 1,6 millions de dossiers médicaux.

Le National Health Service (NHS) est le système de la santé publique du Royaume-Uni. Sa mission, permettre aux britanniques de se soigner dans les meilleures conditions. Quatre NHS régissent le système de santé publique des Écossais, Britanniques, Irlandais et Gallois. Les sujets de sa gracieuse majesté vont adorer apprendre que le NHS a signé un accord avec une filiale de Google, DeepMind. Finalité de ce partenariat, comprendre la santé humaine. Sauf qu’il semble que ce contrat passé en 2014 vient de prendre une nouvelle tournure plus intrusive.

DeepMind a dorénavant un accès complet à 1,6 millions de dossiers de patients britanniques. Des dossiers de patients passés par les trois principaux hôpitaux de Londres : Barnet, Chase Farm, et le Royal Free. En février, la filiale de Google dédiée à l’intelligence artificielle a indiqué avoir mis en place une application appelée Streams. Elle est destinée à aider les hôpitaux à surveiller les patients atteints de maladie rénale. Cependant, il vient d’être révélé que l’étendue des données partagées va beaucoup plus loin et inclut des journaux d’activité, au jour le jour, de l’hôpital (qui rend visite au malade, quand…) et de l’état des patients.

Les résultats des tests de pathologie et de radiologie sont également partagés. En outre, DeepMind a accès aux registres centralisés de tous les traitements hospitaliers du NHS au Royaume-Uni, et cela depuis 5 ans. Dans le même temps, DeepMind développe une plate-forme appelée Rescue Patient. Le logiciel utilise les flux de données de l’hôpital. Des informations qui doivent permettre de mener à bien un diagnostic. New Scientist explique que l’application compare les informations d’un nouveau patient avec des millions d’autres cas « Patient Rescue pourrait être en mesure de prédire les premiers stades d’une maladie. Les médecins pourraient alors effectuer des tests pour voir si la prédiction est correcte« .

Sécurité informatique : recommandation pour les fabricants de dispositifs médicaux

L’US Food and Drug Administration a publié un document décrivant les étapes importantes qui doivent suivre les fabricants de dispositifs médicaux afin de régler les risques en matière de cybersécurité.

Comme je vous l’expliquais il y a peu, l’US Food and Drug Administration, l’agence chapeautée par le ministère américain de la Santé et des Services sociaux, a fait interdire du matériel médical car considérés comme trop facilement manipulable par un pirate informatique. La FDA vient de diffuser un document, baptisé « Draft Guidance for Industry andFood and Drug Administration Staff » décrivant les étapes importantes qui doivent suivre les fabricants de dispositifs médicaux afin de régler les risques en matière de cybersécurité.

Ce projet d’orientation détaille les recommandations de l’Agence pour la surveillance, l’identification et le traitement des vulnérabilités en matière de cybersécurité dans les dispositifs médicaux une fois que les machines sont sur le marché. Le projet d’orientation fait partie des efforts en cours de la FDA pour assurer la sécurité et l’efficacité des dispositifs médicaux, à tous les stades de leur cycle de vie.

« Tous les dispositifs médicaux qui utilisent un logiciel et qui sont reliés à un réseau ont très certainement des vulnérabilités que nous ne pouvons protéger de manière proactive » souligne Suzanne Schwartz de la FDA. Pour la directrice adjointe du secteur contre-mesures médicales, ce projet de directives doit protéger les patients contre les menaces cybernétiques en recommandant aux fabricants de dispositifs médicaux de renforcer leur surveillance.

Le projet de directive recommande la mise en œuvre d’un programme de gestion des risques en matière de cybersécurité, structuré et systématique, et de répondre en temps opportun aux vulnérabilités identifiées. Bref, les fabricants doivent mettre en action les principes fondamentaux qui sont d’identifier, protéger, détecter, réagir et récupérer. La FDA demande aussi que des cellules de veille soient mises en place chez les constructeurs « Une surveillance des sources d’information liées à la cybersécurité afin d’identifier et détecter les vulnérabilités et les risques en matière de cybersécurité« . Parmi les autres propositions : adopter une politique de divulgation des vulnérabilités coordonnées.

Le public et les professionnels ont 90 jours pour commenter ce projet.

Clé USB perdue pour un hôpital, 29 000 patients concernés

La fuite de bases de données peut prendre de multiples formes. La perte d’un support de stockage contenant des informations sensibles médicaux par exemple.

Ca n’arrive pas qu’aux autres – 29 000 patients de l’hôpital universitaire Arnett de l’Indianna viennent d’être alertés d’un problème concernant leurs dossiers médicaux. Le centre hospitalier a alerté la justice de l’Etat à la suite de la « perte » d’une clé USB. Dans le support de stockage de l’University Health Arnett Hospital, des informations de santé de milliers de patients. La clé n’était pas chiffrée, n’avait pas de mot de passe. Le document n’était pas protégé contre les lectures non autorisées. Plus grave encore, les données couraient de novembre 2014 à novembre 2015. Quid des autres sauvegardes et de la sécurité de ces dernières ?

A noter, qu’en France, ce mardi 11 janvier, un hébergeur Lillois a été attaqué par un pirate informatique Turc. Des cabinets dentaires, des sites d’infirmiers et infirmières Français ont été impactés par cette attaque. Impossible de savoir si des données sensibles ont été collectées par le malveillant.

Un appareil médical interdit en raison de vulnérabilités numériques

La Food and Drug administration vient de faire interdire un appareil médical considéré comme dangereux en raison de trop nombreuses vulnérabilités informatiques. Un pirate pourrait manipuler les transfusions à un patient.

La FDA, la Food and Drug administration, l’Agence américaine des produits alimentaires et médicamenteux vient de tirer la sonnette d’alarme au sujet des matériels médicaux face aux pirates informatiques. Pour ce faire entendre, et faire de manière à ce que les constructeurs écoutent avec leurs deux oreilles, la FDA vient de faire interdire le dispositif médical de la société Hospita.

Le matériel incriminé, une pompe à perfusion, l’Hospira Symbiq Infusion System. La FDA encourage « fortement les établissements de soins de santé à changer de matériel, à utiliser des systèmes de perfusion de rechange, et de cesser l’utilisation de ces pompes [celles d’Hospita]. »

La raison de cette interdiction ? Trop de vulnérabilités pourraient être exploitées par des pirates informatiques, et donc mettre en danger les patients. Des failles qui pourraient permettre à un utilisateur non autorisé de contrôler l’appareil et de modifier la perfusion. Délivrer plus ou moins de médicament par exemple.

Une interdiction qui était prévue chez Hospira. Le constructeur avait annoncé en mai 2013 qu’il mettrait à la « retraite » Symbiq, ainsi que d’autres pompes à perfusion. Une mise à la retraite prévue pour la fin 2015.

Secteur médical : la prochaine cible des cybercriminels ?

Le système d’informations de santé, qui regroupe les dossiers électroniques des patients jusqu’aux dispositifs médicaux, est plus vulnérable qu’on ne l’imagine. Et les enjeux sont bien trop importants pour fermer les yeux sur cette problématique épineuse.

Aujourd’hui, sur le marché noir, les données de patients se monnayent jusqu’à 20 fois plus cher que les données de cartes de paiement récupérées, par exemple, à l’issue d’un piratage visant un acteur de la grande distribution. Les données médicales sont en effet détaillées, riches et regorgent d’informations que recherchent les cybercriminels pour perpétrer leurs détournements d’identité et autres fraudes. De plus, les patients prennent bien plus de temps à se rendre compte du détournement de leurs informations de santé, jusqu’à près d’un an pour certains patients. En effet, pour identifier
une utilisation frauduleuse des cartes de paiement, les banques disposent d’algorithmes qui repèrent rapidement les activités suspectes et prennent souvent automatiquement les mesures de sécurité qui s’imposent. Ces mesures de sécurité n’existent pas dans le domaine médical. Les acteurs de santé, eux-mêmes, ne se rendent pas toujours compte de la vulnérabilité des nombreux systèmes qu’ils utilisent face aux cyber-attaques:

Cyber-attaques traditionnelles
Ces attaques, qui s’en prennent à tous les profils d’organisations, sont véhiculées par des logiciels malveillants, phishing, chevaux de Troie ou encore des ransomware. Par rapport aux autres secteurs d’activité, celui de la santé est particulièrement vulnérable en l’absence de mesures de protection
intégrées et compte tenu d’une priorité moindre accordée à la sécurité. Ces logiciels malveillants, qu’ils soient déployés via des attaques ciblées, des sites Web piratés ou des dispositifs mobiles infectés, entraînent une divulgation de données confidentielles et aboutissent à des coûts importants et à
des tâches de restauration post-incident particulièrement chronophages. Ces attaques ne sont pas vraiment nouvelles, mais elles gagnent en sophistication et la perte de données de patients est une vraie problématique. Les cybercriminels ont d’ailleurs conçu des plateformes entières de logiciels malveillants qui peuvent être personnalisées pour attaquer les acteurs de santé.

Dispositifs médicaux connectés
Aujourd’hui, des moniteurs cardiaques aux pompes à perfusion, tous les équipements peuvent être connectés à un réseau et s’interfacer avec les dossiers électroniques de patient, permettant ainsi d’activer des alertes en temps réel à l’intention du personnel soignant. Cette interactivité est, dans la
perspective du patient, une bonne nouvelle. Mais au niveau sécurité, il s’agit plutôt d’un cauchemar.

La majorité de ces équipements, et notamment les IRM, les scanners et autres équipements de diagnostic n’ont pas été conçus en faisant de la sécurité une priorité. Ils sont nombreux à utiliser des systèmes d’exploitation comme Microsoft Windows et des logiciels conçus pour collecter les données… Et pas forcément les garder en sécurité. Le piratage de ces appareils est donc possible et une fois compromis, les cybercriminels peuvent accéder directement aux systèmes de données cliniques avec lesquels ces équipements sont interfacés.

Les données de patients ne constituent pas les seules ressources pouvant être piratées via des dispositifs connectés. Les cyber-terroristes pourraient potentiellement manipuler les machines et porter atteinte aux patients. D’ailleurs, dès 2011, un chercheur en sécurité a su démontrer qu’une pompe à insuline pouvait être piratée et utilisée pour injecter une dose mortelle d’insuline[1].

Les équipements de santé personnels et résidentiels
Les dispositifs de santé prolifèrent bien au-delà des murs des hôpitaux. Les équipements de santé personnels, les applications de santé et autres coachs de fitness sont de plus en plus nombreux à recueillir et à transmettre des données. Ces systèmes peuvent potentiellement mettre les données de patients en péril (ou du moins ne pas assurer leur parfaite protection), et ils s’interfacent aussi souvent avec des dossiers électroniques de patients ou des systèmes hébergeant des données cliniques. Si un dispositif de contrôle du taux de glucose ou une application de santé sur iPhone peuvent être la cible
d’attaques, ces vulnérabilités s’appliquent également aux institutions de soins de santé. Les dispositifs cliniques ont, en effet, pour priorité d’offrir de nouvelles modalités pour une prise en charge pratique, innovante et performante des patients. La sécurité, elle, est moins prioritaire.

La sécurité des soins de santé ne doit pas attendre que les piratages de données de patients aient réussi pour devenir prioritaire. Il faut s’en préoccuper dès aujourd’hui. Le secteur de soins de santé, dans sa globalité, doit engager des actions proactives et privilégier les équipements qui
intègrent la sécurité en natif, mais aussi déployer une protection active au niveau du réseau et des applications. Les enjeux sont tout simplement trop critiques pour s’offrir le luxe d’attendre.  (Par Christophe Auberger, Responsable Technique France, Fortinet)

Fuite de données concernant une quarantaine de Centres Hospitaliers Français.

Une fuite Internet peut rapidement intervenir si on n’y prend pas garde. Un fichier mal maîtrisé, sauvegardé n’importe comment, et c’est rapidement la catastrophe. Google, ainsi que d’autres moteurs de recherche, ne font pas la différence entre le document Excel en libre accès reprenant les recettes de Tata Jeannette, et le fichier regroupant plusieurs dizaines de Centres Hospitaliers Français, avec logins et mots de passe, permettant d’accéder à un espace informatique sensible, celui des patients reçus par les Urgences. Google les voit, donc pour lui, ils sont « libres » d’être référencés, sauvegardés en cache.

Voilà la mésaventure qui vient de toucher une société Française spécialisée dans la création de solutions informatiques de gestion des dossiers patients dédiée aux urgences. Un lecteur, Kyle, nous a alerté de cette fuite complétement folle. Lors d’une cherche d’informations qu’elle ne fût pas son étonnement de se retrouver nez-à-nez face à un fichier Excel intitulé InfosEtContacts.xls.

Si les premières lignes ne m’ont pas paru des plus perturbantes, les suivantes auraient eu de quoi faire tomber en syncope le premier SAMU/SMUR qui passait par là. Dans ce fichier, une liste de Centres Hospitaliers (Régionaux/Universitaires/…) : Saône, Brive, Besançon, Belfort, Beauvais, Amiens, R/Yon, La Rochelle, Gueret, Gentilly, St Ame, Blanc Mesnil, Forbach, Epinal, Dole, Senlis, Rennes, Provins, Guadeloupe, Neuilly, Nancy, Lille, Montpellier, Metz ou encore Lunéville.

Ce fichier relatait, avant d’être effacé du web (et de la cache Google, Ndr), les accès à distance (avec login et mot de passe en clairs) ; la prise de contrôle des serveurs (ip, vnc, accès, …), ouverture de session (avec ip et identifiants de connexion). Dans certains cas, l’accès à des bases de données avec ip, login et mot de passe. Bref, des centaines d’informations qui auraient pu faire de gros dégâts dans les mains d’internautes malveillants. Heureusement, du moins nous l’espérons, aucun pirate n’est passé par là.

Dès la découverte de la « chose », nous avons alerté le CERT A, l’ANSSI et la CNIL via le protocole d’alerte de ZATAZ.COM. Comme à son habitude, le Centre d’Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques a répondu à notre alerte au quart de tour. Nous avons attendu que la fuite soit colmatée afin de vous relater ce gros, très gros problème.

Comment une telle fuite peut-elle être possible ?

Un dossier, sur le site internet officiel de cette entreprise, non protégé par un login et mot de passe. Un simple htaccess aurait suffi à réclamer les précieux identifiants de connexion. Un contrôle d’accès très simple à mettre en place pourtant. Cela aurait empêché Google, et la planète web entière, d’accéder aux informations.

Autre possibilité de sécurisation, qui nous semble la plus efficace chez DataSecuritybreach.fr : ne pas sauvegarder ce genre de données sur un espace connecté à Internet, et encore moins quand ce dernier est … le site web lui-même.C’est un peu comme si la Banque de France déposait des lingots d’or sur une table, dans la rue, à l’entrée de son bâtiment. Pas évident que les petits blocs jaunes restent sur place bien longtemps.

Pour finir, il est fortement conseillé, c’est la CNIL qui l’écrit, de chiffrer ce genre de contenu et de le sauvegarder dans un espace non disponible/accessible d’un simple clic de souris.