L’Assistance Publique-Hôpitaux de Paris (AP-HP) a rencontré un incident de sécurité sur ses systèmes informatiques le 12 septembre 2021. Les données de 1,4 million de personnes ayant réalisé des tests Covid-19 ont été copiées et volées, notamment :

  • Le nom et prénom des patients ;
  • la date de naissance des patients ;
  • l’adresse postale des patients ;
  • l’adresse e-mail des patients ;
  • le numéro de téléphone des patients ;
  • le numéro de Sécurité sociale des patients ;
  • l’identité et les coordonnées des professionnels de santé prenant en charge les patients ;
  • la nature et le résultat du test réalisé.

Il semblerait que les données aient été dérobées suite à une faille de sécurité dans un logiciel utilisé par l’AP-HP, HCP Anywhere, édité par la société Hitachi Vantara. Ce logiciel était utilisé temporairement pour transmettre les données de santé de patients entre les différentes administrations, suite à une défaillance du système officiel SI-DEP (Système d’Information de DEPistage).

Les personnes qui ont réalisé un test Covid-19 autour de la mi-2020 en Île-de-France doivent considérer leurs données comme perdues. Ces données peuvent être acquises et utilisées par des tiers malintentionnés.

Communiqué de l’AP-HP envoyé aux victimes par e-mail :

« Vous avez effectué un test de dépistage Covid-19 dont le compte rendu a été validé mi-2020.
Nous vous écrivons aujourd’hui afin de vous informer que le 12 septembre 2021, nous avons eu la confirmation d’une violation des données personnelles vous concernant. Sachez que nous en sommes vraiment désolés et nous vous prions de bien voiloir nous en excuser.

L’Assistance Publique - Hôpitaux de Paris a été victime d’une attaque informatique qui a porté sur un service sécurisé de partage de fichiers hébergé et utilisé par l’AP-HP. Ce service lui permet d’assurer le stockage et le partage sécurisé de fichiers, en interne et en externe. Des résultats d’examen de dépistage Covid-19 y étaient stockés, à titre exceptionnel.

Pour transmettre à l’Assurance Maladie et aux Agences Régionales de Santé ces données utiles au suivi et à l’accompagnement des personnes (contact tracing), ce service a été utilisé de manière très ponctuelle en septembre 2020, en complément du système d’information national de dépistage (SI-DEP), dont l’AP-HP assure la maîtrise d’œuvre pour le compte du ministère des Solidarités et de la Santé et qui rencontrait alors des difficultés techniques dans ses outils de transmission.

Cette violation concerne vos données d’identité (nom, prénom, date de naissance, sexe), votre numéro de sécurité sociale, vos données de contact (adresse postale, téléphone et adresse électronique, lorsque renseignés lors de votre test), ainsi que les données relatives au test de dépistage que vous avez effectué l’année dernière, et notamment son résultat. Aucune autre donnée médicale que celles strictement liées à la réalisation du test, tels que présence d’éventuels symptômes ou hospitalisation éventuelle, n’est concernée.
Cet incident a été notifié à la [CNIL], comme prévu par l’article 34 du [RGPD]. L’autorité judiciaire a été saisie par l’AP-HP et le ministère des Solidarités et de la Santé.

Nous avons immédiatement fermé les accès au service de partage de fichiers concerné. Nous savons que ces données ont été accessibles sur une plateforme de téléchargement [Mega] hébergée en Nouvelle-Zélande. Cet accès a été coupé le 14 septembre 2021. Nous continuerons à prendre toutes les mesures possibles et nécessaires pour limiter l’impact de cette fuite de données. À ce stade, nous n’avons connaissance d’aucune réutilisation de ces données. Nous ne pouvons néanmoins pas garantir que ces fichiers ne soient pas partagés entre des personnes malveillantes, malgré les sanctions encourues par les auteurs de cette attaque ou par toute personne qui les diffuserait ou les exploiterait. C’est pourquoi, nous vous recommandons la plus grande vigilance, notamment s’agissant de tentatives d’escroquerie ou d’hameçonnage qui pourraient survenir dans les prochaines semaines […].

Si vous souhaitez avoir de plus amples informations ou nous signaler un incident, vous pouvez nous contacter sur l’adresse (rgpd[@]mailing.aphp.fr). Nous collaborons étroitement aux enquêtes dont nous souhaitons qu’elles permettront de retrouver le ou les auteurs.

Une nouvelle foi nous vous prions de bien vouloir nous en excuser. Nous sommes conscients des conséquences qui peuvent résulter de cette attaque et nous vous assurons que nous mettons tout en œuvre pour en limiter les effets. »

— AP-PH, e-mail envoyé aux victimes

Voir :