L’Assistance Publique - Hôpitaux de Paris - AP-HP - a porté plainte le 15 septembre, auprès du Procureur de la République de Paris, après avoir constaté le vol de fichiers contenant des données nominatives, à la suite d’une attaque informatique conduite au cours de l’été et confirmée le 12 septembre dernier.
L’attaque a porté sur un service sécurisé de partage de fichiers hébergé et utilisé par l’AP-HP, qui lui permet d’assurer le stockage et le partage sécurisé de fichiers, en interne et en externe.
Pour transmettre à l’Assurance Maladie et aux Agences Régionales de Santé des données issues de laboratoires de biologie médicale utiles au suivi et à l’accompagnement des personnes (contact tracing), ce service a été utilisé de manière très ponctuelle en septembre 2020, en complément du système d’information national de dépistage (SI-DEP), dont l’AP-HP assure la maîtrise d’œuvre pour le compte du ministère des Solidarités et de la Santé et qui rencontrait des difficultés techniques dans ses outils de transmission. Le système d’information national de dépistage (SI-DEP) n’est pas lui-même concerné par l’attaque.
Les fichiers dérobés concernent environ 1,4 million de personnes, ayant réalisé des tests (PCR et sérologies Covid-19) mi-2020, principalement en Île-de-France et certains hors Île-de-France.
Ils incluent l’identité, le numéro de sécurité sociale et les coordonnées des personnes testées, l’identité et les coordonnées des professionnels de santé les prenant en charge, les caractéristiques et le résultat du test réalisé. Aucune autre donnée médicale que celles strictement liées à la réalisation du test n’est concernée.
Les premières investigations suggèrent que le vol pourrait être lié à une récente faille de sécurité de l’outil numérique de partage de fichiers acquis par l’AP-HP et hébergé sur ses propres infrastructures techniques.
Les investigations se poursuivent pour déterminer l’origine et le mode opératoire de cette attaque.
La Commission nationale de l'informatique et des libertés (CNIL) a été notifiée des faits constatés. Des investigations sont en cours, il n'est donc pas nécessaire de saisir la CNIL à titre individuel.
Que faire si vous êtes concerné
Un signalement a été fait par l’ANSSI et une plainte a été déposée par l’AP-HP auprès des autorités judiciaires.
Les investigations ne montrent pas à ce jour d’autres fuites de données ni d’intrusion dans les autres systèmes de l’AP-HP.
Par ailleurs, l’AP-HP confirme avoir écrit le 17 septembre dans la soirée, notamment par courriel, pour informer les personnes concernées par un vol de données à la suite de cette attaque informatique. Ce courriel signé par « Martin Hirsch, directeur général de l’AP-HP », a pour objet : « Information sur vos données », son émetteur est « RGPD AP-HP ». Il recommande à ses destinataires « la plus grande vigilance, notamment s’agissant de tentatives d’escroquerie ou d’hameçonnage qui pourraient survenir dans les prochaines semaines ».
Enfin, après échanges avec l’Assurance Maladie, l’AP-HP confirme que la connaissance du numéro de sécurité sociale et d'autres éléments figurant parmi ceux ayant fait l'objet de cette fuite de données comme l'adresse mail ou le numéro de téléphone ne suffisent pas pour accéder au compte Ameli. Pour accéder à celui-ci, il faut disposer d’un code personnel numérique ou alpha numérique.
L’AP-HP présente ses excuses à toutes les personnes concernées.
