https://vieviewer.com/

Systèmes d'information

Doctolib victime d'un vol de données concernant plus de 6.000 rendez-vous

0 148

PARIS (TICsanté) - Le spécialiste de la gestion de rendez-vous médicaux Doctolib a été victime le 21 juillet d'un "acte malveillant qui a permis d'accéder illégalement aux informations administratives de 6.128 rendez-vous", a-t-il fait savoir dans un communiqué le 23 juillet.

Les informations concernées sont "le nom, le prénom, le sexe, le numéro de téléphone et l'adresse email du patient, ainsi que la date de rendez-vous, le nom et la spécialité du professionnel de santé concerné par le rendez-vous", a-t-il énuméré.

Doctolib indiquait mi-juillet à TICsanté que les données des patients étaient anonymisées. Interrogée à nouveau le 23 juillet à ce sujet, la société a répondu que "les données de santé des patients utilisateurs de Doctolib sont bien anonymisées et chiffrées à plusieurs niveaux. L'auteur de l'acte malveillant est parvenu à accéder à une 'vue patient' où l'information est déchiffrée", sans détailler ce qu'est cette "vue patient" ni comment l'attaquant a pu y accéder.

"La mise en place du chiffrement de bout en bout, que nous avons engagée, empêchera ce type d'incident", a-t-elle ajouté.

Les données relatives aux rendez-vous médicaux, telles que le nom ou la spécialité du professionnel de santé, sont couvertes par le secret professionnel, note-t-on.

Dans son communiqué, la société assure qu'"aucune donnée médicale n'a pu être lue: aucun motif de rendez-vous, aucun document médical, aucune information relative au dossier médical des patients n'a été concernée. Aucun mot de passe n'a pu être lu".

"Rien ne nous permet de conclure à ce jour à une utilisation malveillante de ces informations" et "aucune modification de ces informations" n'a été constatée.

Doctolib a "très rapidement" mis fin à la cyberattaque et identifié sa source.

"Cet incident ne concerne pas les rendez-vous pris sur www.doctolib.fr ou sur le logiciel de gestion de cabinet de Doctolib, mais des rendez-vous pris sur certains logiciels tiers connectés à Doctolib", a-t-elle assuré dans son communiqué.

Interrogée par TICsanté pour savoir qui, de Doctolib, des établissements utilisateurs de sa solution, des éditeurs de logiciels tiers ou de l'hébergeur de données, était visé, la société a confirmé que l'attaquant "a ciblé Doctolib".

La société est "en lien avec les cabinets et les établissements concernés, qui sont en train de contacter les patients concernés".

Une plainte a été déposée.

Doctolib a informé la Commission nationale de l’informatique et des libertés (Cnil) et est aussi "en lien" avec l'Agence nationale de la sécurité des systèmes d'information (Anssi) et de l'Agence du numérique en santé (ANS, ex Asip santé), a-t-elle fait savoir à TICsanté.

Elle a précisé n'avoir "jamais fait l'objet jusqu'à présent de ce type d'acte".

"Nous n'avons pas subi de fuite de données, mais avons été victimes d'un acte malveillant isolé qui a permis à une personne de lire temporairement des informations administratives limitées sur un petit nombre de rendez-vous", a déclaré la société.

Les informations de ces 6.128 rendez-vous équivalent à "0,02% des rendez-vous pris sur Doctolib en un mois", a-t-elle ajouté.

Des "accusations fausses"

Une enquête de Télérama publiée le 16 juillet accuse Doctolib de faire preuve de "légèreté" concernant le secret médical, note-t-on.

S'appuyant sur les témoignages anonymes d'anciens salariés de la société, l'article évoque "une base de données des patients partagée sans mot de passe sur des clés USB ou via le service d'envoi de fichiers WeTransfer" ou encore un délai de "deux ou trois semaines pour corriger une faille de sécurité".

"Doctolib est sous le coup d'une enquête de la Cnil, qui a diligenté deux contrôles au premier trimestre 2020", ajoute le magazine.

Stanislas Niox-Chateau, cofondateur et président de Doctolib, a rejeté les "accusations" de Télérama, les qualifiant de "fausses", dans un communiqué publié le même jour.

"Comme toute entreprise du numérique, Doctolib fait l'objet de contrôles (et non d'enquêtes) réguliers de la part de la Cnil, et c'est tout à fait normal", a-t-il répondu.

"Doctolib n'héberge aucune donnée de santé" et n'a pas vocation à être certifié hébergeur de données de santé (HDS), a-t-il estimé. Les données de ses utilisateurs sont hébergées par AWS, la filiale cloud du géant américain Amazon, qui est certifiée HDS.

Interrogée par TICsanté sur un éventuel changement de doctrine à la suite de l'attaque du 21 juillet, la société a indiqué "ne pas avoir de raison de revenir sur cette position aujourd'hui".

LĂ©o Caravagna
leo.caravagna@apmnews.com

http://www.computer-engineering.fr/

En bref

Maincare Solutions lance IdéoPlan pour synchroniser les sites de rendez-vous en ligne et les SI des hôpitaux

L'éditeur de logiciels Maincare Solutions a annoncé le 2 septembre le lancement de son nouveau service IdéoPlan, qui permet la synchronisation des sites de prise de rendez-vous médicaux en ligne avec les outils de planification des systèmes d'information hospitaliers.

0 480

Acteurs

Insurtech: Alan s'ouvre aux particuliers et met le cap sur l'Europe

PARIS (TICsanté) - Depuis le 25 août la start-up française Alan, spécialisée dans l'insurtech (technologies de l'assurance), propose ses services aux particuliers, aux retraités et à deux nouveaux secteurs professionnels dont la fonction publique. Elle prépare également son lancement en Espagne et en Belgique "en 2020".

0 754

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
8 + 9 =
http://www.canyon.fr/
https://openbi.org/

Les offres APMjob.com

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • VPH 2020

    Du 24/08/2020 au 28/08/2020

  • SIDO 2020

    Du 03/09/2020 au 04/09/2020

  • JournĂ©e En avant la e-santĂ© 2020

    Le 22/09/2020

  • Sant'Expo 2020 (ex-Paris Healthcare Week)

    Du 07/10/2020 au 09/10/2020

  • 6e JournĂ©es des start-up innovantes du dispositif mĂ©dical

    Le 13/04/2021

https://vph2020.sciencesconf.org