L’Assistance Publique Hôpitaux de Paris (AP-HP) a annoncé le vol de fichiers contenant des données médicales de 1,4 million de personnes. L’attaque informatique a été exécutée durant l’été, mais n’a été confirmée que le 12 septembre.

Les personnes concernées ont quasiment toutes été testées pour le Covid-19 en région parisienne au milieu de l’année 2020, rapporte l’AP-HP dans un communiqué.

Piratage d’un « service sécurisé de partage de fichiers » de l'AP-HP

Le piratage a visé les systèmes informatiques de l’AP-HP, et plus précisément « un service sécurisé de partage de fichiers ». Un service utilisé « de manière très ponctuelle en septembre 2020 », pour transmettre à l’Assurance Maladie, ainsi qu’aux Agences Régionales de Santé (ARS), des informations pour le « contact tracing ». Il était utilisé et hébergé par l’AP-HP, lui permettant ainsi d’assurer « le stockage et le partage sécurisé de fichiers, en interne et en externe », explique l’établissement de santé de la capitale.

Dans les fichiers volés se trouvaient de multiples données médicales et surtout confidentielles. « L’identité, le numéro de Sécurité sociale et les coordonnées des personnes testées ». Excepté le numéro de Sécurité sociale, l’identité et les coordonnées du personnel soignant ayant pris en charge les patients ont aussi été volées. À cela s'ajoutent « les caractéristiques et le résultat du test réalisé », soit les informations entrées dans SI-Dep après un dépistage.

Le SI-Dep, qui n’a pas été touché par l’attaque, est le fichier national des tests de dépistage, dont l’AP-HP assure le fonctionnement pour le ministère des Solidarités et de la Santé. Aucune autre donnée médicale n’a été volée.

La préfecture de police et la CNIL ouvrent une enquête

Une enquête a été ouverte, et confiée aux enquêteurs spécialisés en cybercriminalité de la préfecture de police. Les investigations se poursuivent. Les premiers résultats montrent que le vol pourrait avoir été rendu possible par une faille de sécurité « de l’outil numérique de partage de fichiers acquis par l’AP-HP ». L’origine de l’attaque, comme le ou les auteurs, ne sont pas encore connus.

En attendant les conclusions de l’enquête, les accès à ce service de stockage ont été coupés. La Commission nationale de l’informatique et des libertés (CNIL) a été informée de l’attaque, et a « ouvert une enquête pour ces violations ». L’Agence nationale de la sécurité des systèmes d'information (ANSSI) a émis un signalement, et l’AP-HP a déposé plainte le mercredi 15 septembre. L’AP-HP a expliqué que « toutes les personnes concernées […] seront informées individuellement dans les prochains jours ».

Des vols de plus en plus fréquents

Les affaires de vols informatiques de données médicales ont de quoi inquiéter, à l’heure où ces dernières sont de plus en plus numériques. Ce nouveau larcin ne fait que confirmer que les établissements de santé français doivent renforcer leur cybersécurité.

D’autant plus que ce n’est pas le premier vol repéré depuis le début de la pandémie. En février 2021 déjà, un éditeur de logiciel utilisé par de nombreux laboratoires d’analyses était à l’origine d’une fuite de données médicales de 500 000 Français. L’hôpital de Villefranche-sur-Saône a, lui, été victime d’un rançongiciel le même mois. Devant la multiplication de ces attaques, Emmanuel Macron a présenté mi-février un plan d’investissement dans la cybersécurité d’un milliard d’euros. L'objectif est notamment de mettre à niveau la protection des systèmes d’information de santé.