C'est un incident majeur. L'Assistance Publique-Hôpitaux de Paris (AP-HP), qui regroupe 39 hôpitaux, a été victime d'un vol massif. Les données personnelles de 1,4 million de personnes sont concernées, presque exclusivement pour de tests de dépistage du Covid-19 réalisés mi-2020 en Ile-de-France.



Identité, résultat de test...

Les informations dérobées incluent l'identité, le numéro de sécurité sociale et les coordonnées des personnes testées ainsi que l’identité et les coordonnées des professionnels de santé chargés de l'examen, les caractéristiques et le résultat du test réalisé. Aucune autre donnée médicale que celles strictement liées à la réalisation du test n’est concernée, précise l'AP-HP dans son communiqué.



Ce vol de données est la conséquence d'une attaque informatique conduite au cours de l'été 2021 et confirmée le 12 septembre dernier, peut-on lire dans le communiqué publié le 15 septembre. L'attaque a ciblé un service sécurisé de partage de fichiers hébergé et utilisé par l’AP-HP, qui lui permet d’assurer le stockage et le partage sécurisé de fichiers, en interne et en externe. C'est une "récente faille de sécurité" dans cet outil qui a permis aux hackers de voler des données.



En pratique, ce service permet de transmettre les données issues des laboratoires de biologie médicale à l'Assurance maladie et aux Agences régionales de santé à des fins de contact tracing. Il a été utilisé de manière "très ponctuelle" en septembre 2020, détaille l'AP-HP. En revanche, le système d'information national de dépistage (SI-DEP) n'est pas lui-même concerné par cet incident. Cette plateforme compile tous les résultats des laboratoires de tests Covid-19. Elle permet d'assurer que tous les cas positifs sont bien pris en charge.



L'AP-HP indique que les accès ont été immédiatement coupés en attendant la fin des investigations. En outre, l'enquête en cours ne montre pas à ce jour d'autres fuites de données ou intrusions dans le système d'information du groupe francilien. L'enquête se poursuit pour déterminer l'origine exacte et le mode opératoire de cette cyberattaque.



Deux plaintes déposées

Comme le Règlement général sur la protection des données (RGPD) l'exige, la Commission nationale de l'informatique et des libertés (Cnil) a été prévenue. Un signalement a été fait à l'Agence nationale de la sécurité des systèmes d'information (Anssi) et une plainte a été déposée auprès du Procureur de la République de Paris. Le ministère des Solidarités et la Santé a également porté plainte. Les victimes de ce vol seront par ailleurs contactées individuellement dans les prochains jours, note l'AP-HP.



Cette annonce intervient quelques jours après la découverte d'une base de données contenant 700 000 résultats de tests Covid accompagnés des données personnelles des patients. Ces informations très sensibles auraient été librement accessibles durant plusieurs mois en raison d'une faille de sécurité sur la plateforme Francetest, rapportait une enquête menée par Mediapart.