1️⃣ une attaque 🏴☠️ contre l’Assurance maladie a permis à des pirates de dérober les informations personnelles de 500 000 bénéficiaires ;
2️⃣ les hacker ont récupéré les identifiants et mots de passe des professionnels de santé sur le darkweb et procédé des interrogations en chaîne sur le service Infopatient ;
3️⃣ sauf exceptions prévues par l’article 9 du RGPD 🇪🇺, les traitements portant sur des catégories particulières de données à caractère personnel (dont les données de santé) sont interdits 🛑 ;
4️⃣ l’attaque a été notifiée 📢 à la Cnil le 16.03.2022
5️⃣ l’Assurance maladie a également communiqué sur cette violation le 17.03.2022 ;
6️⃣ la source de la fuite a été identifiée comme provenant d’un logiciel commercialisé auprès de laboratoires par la société Dedalus Biologie ;
7️⃣ le 21.04.2022, la Cnil a condamné l’entreprise Dedalus à une amende d’1,5 million d’💶 en considérant un manquement à l’obligation pour le sous-traitant de respecter les instructions du responsable de traitement (article 29 du RGPD) ;
de plus les conditions générales de vente proposées par la société Dedalus Biologie et les contrats de maintenance ne contiennent pas les mentions prévues par l’article 28-3 du RGPD : on peut néanmoins s’étonner que ce manquement n’incombe pas également aux Responsables du Traitement (les Laboratoires) ;
8️⃣ on retrouve parmi les importants manquements techniques et organisationnels en matière de sécurité qui ont conduit à la fuite de données :
- absence de procédure spécifique pour les opérations de migration de données ;
- absence de chiffrement des données personnelles stockées sur le serveur problématique ;
- absence d’effacement automatique des données après migration vers l’autre logiciel ;
- absence d’authentification requise depuis internet pour accéder à la zone publique du serveur ;
- utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur ;
- absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur.
9️⃣ le parquet de Paris a ouvert une enquête pour piratage informatique : celle-ci a été confiée à la SDLC ;
🔟 l’objectif est d’identifier et de sanctionner le ou les responsables du piratage et de la mise en ligne des données.