Vol de données de santé de 750.000 patients d’un établissement francilien

Un pirate informatique propose à la vente les dossiers médicaux de centaines de milliers de patients. Le ministère de la Santé réagit face à cette menace.

Dans un contexte où la cybersécurité devient un enjeu majeur, un individu anonyme a mis en vente des informations sensibles appartenant à 758.912 patients d’un établissement de santé de la région parisienne. Ces données, accessibles via un site internet, incluraient des détails personnels tels que noms, adresses, et même des informations médicales spécifiques comme l’identité des médecins traitants ou les prescriptions médicales. L’expert en cybersécurité Damien Bancal, également rédacteur du blog zataz.com, a confirmé cette violation de données, tout en soulignant l’incertitude quant à la véracité des chiffres avancés par le pirate.

La société Softway Medical, éditeur du logiciel Mediboard mentionné dans l’offre de vente, a rapidement précisé que la fuite provenait d’un établissement utilisant leur logiciel, et non du logiciel lui-même. Déborah Draï, responsable de la communication chez Softway Medical, a souligné que les données de santé n’étaient pas hébergées par leur entreprise, mais par l’établissement concerné, appartenant au groupe Aléo. Ce dernier, regroupant plusieurs cliniques et maisons de retraite, n’a pas encore fourni de réponse officielle à cette situation.

Le ministère de la Santé, informé par l’Agence régionale de santé (ARS) Île-de-France, a assuré que des mesures sont en cours pour gérer cet incident, en collaboration avec les autorités compétentes. Il a été précisé que cette attaque n’affecte pas la continuité des soins ni la sécurité des patients. Toutefois, les implications de cette fuite sont vastes et préoccupantes. Selon Benoit Grunemwald, expert en cybersécurité chez ESET, ces informations peuvent servir à créer des bases de données très précises, facilitant des attaques d’hameçonnage ciblées et potentiellement des fraudes bancaires.

Cette affaire s’inscrit dans une série de violations de données récentes, touchant également des entreprises comme Le Point et Direct Assurance, filiale d’Axa. Ces incidents soulignent l’urgence d’une amélioration des mesures de protection des données personnelles et sensibles, tant au niveau des entreprises que des institutions de santé. La vigilance des individus et des organisations face aux cybermenaces doit être renforcée pour éviter de tels scénarios à l’avenir.