PARIS, 22 juin 2012 (TICsanté) – Après la découverte de la diffusion sur internet de dossiers médicaux de la clinique de Champagne, à Troyes, un prestataire informatique a essayé de monnayer l’information auprès de l’établissement, rapporte le quotidien l’Est Eclair.
Dans
son édition du 20 juin, le quotidien de l'Aube indique que 375 dossiers médicaux ont été retrouvés par la clinique troyenne via le moteur de recherche de Google. L'article est paru une fois les données litigieuses supprimées du réseau, la firme américaine ayant accepté de les effacer le 15 juin, après moins d'une semaine de tractations.
Alerté dès le 6 juin par "les gérants d'une société informatique", l'établissement a constitué une cellule de crise, chargée de traquer les dossiers "aspirés" en ligne, et a déposé une plainte contre X le 8 juin.
Cité par l'Est Eclair, le Dr Daniel Massia, PDG de la clinique de Champagne, soupçonne "une intrusion" et souligne que le prestataire qui l'a averti est intervenu dans son établissement un mois auparavant pour "installer un antivirus sur un poste".
Lors d'un rendez-vous le 11 juin, un des gérants de cette société a rencontré le dirigeant de l'établissement. "Un dossier médical en main, il me réclame rapidement 10.000 euros, puis évoque des failles dans notre système et propose ses services pour la réalisation d'un audit", raconte le Dr Massia.
Sous couvert de l'anonymat, les responsables de l'entreprise en question expliquent avoir découvert involontairement une défaillance et pris contact avec le PDG de la clinique dans une logique de chantage assumée. "Nous espérions qu'il veuille bien nous rétribuer pour l'information que nous lui livrions à hauteur de 10.000 euros et éventuellement pouvoir travailler avec lui", déclarent-ils.
S'ils reconnaissent avoir "besoin d'argent", ils réfutent toute intention malveillante et disent "comprendre les doutes" sur leur démarche. "Nous sommes intervenus au mauvais moment en pensant bien faire", estiment-ils.
Placés en garde à vue, les gérants incriminés ont été libérés. Selon l'Est Eclair, les enquêteurs auraient constaté que "certaines données ont été mises en ligne à partir de février 2011 et peut-être avant" et que le pare-feu de la clinique "n'a pas été endommagé", éliminant a priori la piste d'une attaque de hackers.
Contacté par TICsanté, le parquet de Troyes n'a pas confirmé ces renseignements, ni indiqué si d'autres auditions, des perquisitions ou des saisies avaient été réalisées./gb/ar
Cependant, l'actualité a mis en lumière des piratages de ministères de la défense en France et aux USA, voire même à l'ONU et à la CIA, ainsi que dans de grandes entreprises comme Sony, etc ..
Dans le domaine de la santé, surtout en France où des choix techniques très contestables ont été faits, commme l'hypercentralisation gérée par une petite structure (pour le DP et DMP) et le recours systématique à Internet, nous sommes particulièrement vulnérables. Cet épisode de petite ampleur mais très grave démontre qu'une réflexion de fond sur les dossiers médicaux, en hôpital ou en ville, doit faire l'objet d'une étude approfondie. D'ailleurs, les dépenses engagées sur ces projets et le peu de résultats médicaux devraient être mis en regard des risques encourus. D'autant plus que d'autres techniques moins coûteuses et moins risquées existent et sont bloquées par les structures dirigeantes actuellement en place.
Il existe de multiples façons de pirater des données sur un serveur relié à Internet et nul besoin de casser le firewall...
Mais je voudrais alerter sur le pire à venir: le piratage de grosses structures avec en jeu des dizaines de milliers ou plus de dossiers, rendant la reprise en main quasi impossible et les dégâts humains irréparables...
Et pire encore, ce dont on ne parle jamais, la substitution de données dans les dossiers médicaux, laissant le dossier et les securités intactes mais où certaines données seraient modifiées à des fins de nuire aux patients ou aux soignants.
D. SOLARET