En fin de semaine dernière, le groupement régional d’appui au développement de la e-santé (GRADeS) de Normandie, Normand’e-Santé, a constaté - en lien avec les autorités nationales et l’Agence régionale de santé Normandie - qu’une cyberattaque avait été menée contre les serveurs sur lesquels sont hébergées les données d’identité de patients. Plusieurs régions de France sont concernées à des degrés différents par cette attaque.
En région, les GRADeS sont les opérateurs préférentiels des ARS sur les sujets de numérique en santé (eSanté). Ces structures proposent notamment aux établissements et professionnels de santé des services numériques spécialisés en lien avec leurs missions de soins, de prise en charge et de coordination. Ce sont ces services régionaux qui étaient ciblés.
Les équipes de Normand’e-Santé, en coordination avec leurs partenaires, ont immédiatement lancé de vastes analyses sur leurs systèmes d’informations.
Les premières investigations ont pu confirmer des tentatives de cyberattaques, échelonnées dans le temps, contre les systèmes d’information, et ont permis de mettre en évidence des accès illégitimes réalisés grâce à l’usurpation d’identité de professionnels de santé. Ces accès frauduleux ont mené à la violation de données à caractère personnel (données administratives) d’usagers.
Il apparait des premières investigations que l’intrusion se limiterait aux données d’identité (nom, prénom, âge, le cas échéant numéro téléphone, adresse mail, etc.) de patients. A ce stade des investigations, il apparait qu'aucune donnée contenue dans les dossiers médicaux des patients ne serait concernée par cette cyberattaque.
Les comptes compromis ont été neutralisés et des mesures de sécurité complémentaires ont été immédiatement mises en place pour prévenir toute nouvelle connexion de ce type. Les structures de santé partenaires ont également été informées et une information a été réalisée à destination des professionnels de santé afin de les inviter à la vigilance quant à l’usurpation de leur identité.
Des déclarations à la CNIL ont été réalisées par Normand’e-Santé et des plaintes ont été déposées auprès des services compétents.
Une information à destination des personnes dont les données ont été compromises est prévue afin de les avertir de l’existence de cet incident et les alerter sur le risque accru de tentative d’hameçonnage dont ils pourraient faire l’objet.
Normand’e-Santé, en lien avec l’ARS Normandie, et dans le cadre d’une coordination inter-régions, reste activement mobilisé pour assurer la maitrise complète de l’incident.
Conseils pratiques Soyez vigilant et adoptez les bons réflexes pour vous protéger contre les appels téléphoniques malveillants, les courriels et les SMS frauduleux. Pour rappel, un professionnel ou un établissement de santé ou médico-social ne demandera jamais la transmission, par email, téléphone ou SMS, d’éléments personnels (coordonnées bancaires, numéro de sécurité sociale, ou mot de passe…). |
