https://vieviewer.com/
https://www.sham.fr/vos-donnees?utm_source=site_web&utm_medium=banner&utm_campaign=banniere_gif_ticsante_octobre&utm_term=&utm_content=

Acteurs

Sécurité informatique: l'éditeur Dedalus accusé de manquements par un ex-employé

2 258

STRASBOURG (TICsanté) - Licencié pour faute grave, un ex-développeur web de Dedalus reproche à l'éditeur d'avoir mis fin à son contrat après qu'il a révélé une faille importante de sécurité au printemps dernier, a rapporté le site d'information NextInpact le 2 octobre, des accusations formellement démenties par le groupe d'informatique hospitalière le 13 octobre auprès de TICsanté.

Jeudi 2 avril 2020: en plein confinement imposé par l'épidémie de Covid-19, un jeune développeur web employé par le groupe d'informatique hospitalier Dedalus est mis à pied à titre conservatoire et convoqué à un entretien préalable à un "éventuel" licenciement pour faute grave. Dans ce courrier rapporté par NextInpact et consulté par TICsanté, il lui est alors reproché des faits datant du 25 mars 2020.

Contacté par TICsanté, l'ex-développeur web de Dedalus a expliqué qu'à cette date, il avait déjà identifié une faille de sécurité importante dans le logiciel destiné aux laboratoires de biologie médicale KaliLab, pouvant "permettre d'accéder comme administrateur aux infrastructures informatiques de plus de 150 laboratoires d'établissements de santé".

Le porte d'entrée de ces serveurs pouvait être déverrouillée grâce à une clé privée de Dedalus... à laquelle il n'aurait pas dû avoir accès.

"Nous rappelons qu'en interne, l'accès à cette clé est réservé aux développeurs de l'intranet Dedalus Biologie. Cette clé a été récupérée sur une adresse URL précise et sans recherche préalable", a expliqué l'éditeur dans sa missive, se référant "à des traces d'accès" au serveur web prélevées le 25 mars "dès 13h26, soit 1h30 après que vous l'ayez vous-même récupérée en votre qualité de développeur", reproche-t-il à son salarié.

L'ex-développeur web se défend: il a signalé cette faille en janvier 2020 et alerté à plusieurs reprises ses dirigeants français et même le PDG italien du groupe dès le début du mois de mars, avant de prévenir le fonctionnaire chargé de la sécurité des systèmes d'information (FSSI) du ministère des solidarités et de la santé, Philippe Loudenot, de cette faille importante et pouvant affecter le fonctionnement des établissements de santé clients, alors pleinement engagés dans la lutte contre l'épidémie de Covid-19.

Prenant l'alerte au sérieux, Philippe Loudenot va alors contacter la direction du groupe informatique dès le 26 mars pour leur confier la liste des éléments récupérés et les renseigner sur les établissements concernés par la faille et jugés vulnérables.

"Le groupe Dedalus a fait le nécessaire pour sécuriser ces accès et proposé une nouvelle version du logiciel. Nous avons eu un retour concernant cette montée de versions par la Société française d'informatique de laboratoire (SFIL) le 2 avril 2020", a expliqué le FSSI dans un deuxième document que TICsanté a pu consulter.

Un licenciement contesté

Dans un dernier courrier recommandé avec accusé de réception envoyé le 16 avril 2020 par Dedalus, le développeur web est notifié de son licenciement pour faute grave.

"Vous avez décidé de façon unilatérale de vous soustraire aux directives de vos managers et donc au lien de subordination qui vous lie à nous", lui fait savoir son désormais ex-employeur.

La liste des griefs est longue: il est ainsi blâmé pour avoir accédé à plusieurs reprises au serveur web de l'intranet Dedalus Biologie -via la clé privée- "en amont" de l'alerte et d'avoir, par la même occasion, accédé à la fiche d'installation de l'intranet du laboratoire de l'hôpital Tenon (Assistance publique-hôpitaux de Paris, AP-HP) "alors même que cette action n'avait aucun lien avec les tâches de développement que vous deviez réaliser", lui signifie-t-on.

A plusieurs reprises, Dedalus a reproché à son ex-développeur d'être sorti de son périmètre professionnel.

Dès le 25 février, le groupe proposait à son salarié une rupture conventionnelle de son contrat de travail "puisque malgré nos demandes de vous conformer à votre contrat de travail en restant focalisé sur le métier et les missions pour lesquels nous vous avons recruté, vous n'aviez d'autre souhait que d'être affecté sur une activité en cybersécurité", explique-t-il dans la lettre de licenciement.

Dedalus a également reproché à son ex-collaborateur d'avoir "défié" sa hiérarchie en accédant à ces serveurs sur son temps de travail et de ne l'avoir pas avisé de ses intentions et des résultats de ses recherches de failles.

L'ex-développeur web a répété à TICsanté avoir tiré la sonnette d'alarme à plusieurs reprises, sans rien cacher de ses découvertes à ses supérieurs et avoir observé la stricte procédure d'alerte en prévenant le FSSI, Philippe Loudenot, de cette faille qui existait depuis 7 ans, a-t-on, par ailleurs, appris.

"Je repérais ces failles en faisant mon travail de développeur justement, et ma conscience professionnelle m'empêchait de continuer et de faire comme si je n'avais rien vu donc je les faisais systématiquement remonter", a-t-il confié à TICsanté.

"C'est dommage d'en arriver là, de devenir un lanceur d'alerte, alors que ces problèmes de sécurité auraient pu être largement être réglés en interne à partir des signalement effectués, si la direction et mes managers avaient pris la pleine mesure des risques liés à la cybersécurité dans un domaine aussi critique que celui des données de santé", a-t-il complété.

Contestant la faute grave invoquée pour justifier son licenciement, l'ex-développeur a choisi de former un recours près le conseil des prud'hommes, la procédure est toujours en cours. Par ailleurs, il prépare une saisine de la défenseure des droits dans le cadre de sa mission d'orientation et de protection des lanceurs d'alerte.

Dedalus se défend

Interrogé par TICsanté, Didier Neyrat, directeur général délégué de Dedalus France, a balayé les accusations de licenciement abusif formulées par son ex-salarié et attend, lui aussi, que les prud'hommes rendent leurs conclusions.

"Nous avons embauché ce salarié, nous lui avons confié une mission et il ne l'a pas réellement exécutée. Cela a duré un certain temps et nous lui avons demandé de faire le travail pour lequel il était payé un certain nombre de fois mais il ne l'a pas fait, il est même allé jusqu'à truquer ses rapports d'activité pour faire d'autres choses. Nous avons donc été obligés de nous séparer de lui mais cela n'a rien à voir avec cette histoire de faille", a-t-il expliqué.

"Il n'est pas content d'être licencié, je peux tout à fait le comprendre et donc quelque part, il est en train de chercher des arguments disant que c'est par rapport à un soi-disant travail d'alerte que nous l'aurions licencié mais c'est complètement faux", a-t-il poursuivi.

Concernant la faille de sécurité au cœur du litige, Didier Neyrat est formel: "Il n'y a pas de faille de sécurité et il n'y en a jamais eu". "Il n'y a jamais eu d'intrusion ou de fuite de données. On nous dit que c'est par rapport à un problème de cybersécurité à l'AP-HP, or notre logiciel n'a jamais été mis en cause et nous n'avons jamais été concernés par ces problèmes de cybersécurité à l'AP-HP", a-t-il fait savoir.

"Nous avons effectivement été informés d'un potentiel problème de sécurité avec notre logiciel KaliLab dont les serveurs auraient pu être rendus accessibles mais cela n'a jamais été le cas et le serveur KaliLab de l'AP-HP n'a jamais été touché, nous avons procédé à des vérifications", a détaillé le DG de Dedalus France.

"La faille mentionnée est quasi impossible à exploiter. Il faut savoir que cette clé d'accès existe et savoir où la chercher pour la trouver mais il faut rester humble et dès que nous avons été alertés, nous avons corrigé cette faille potentielle."

Réfutant "tout ce côté 'complot caché'", le directeur général délégué de l'éditeur informatique a, néanmoins, souligné que "pendant deux ans", son groupe a corrigé les failles de sécurité indiquées par leur ex-salarié lorsque celles-ci se sont révélées exactes.

"Nous avons toujours été très mobilisés sur ces questions de sécurité et nous continuerons à l'être", a-t-il répété à TICsanté.

Wassinia Zirar
Wassinia.Zirar@apmnews.com

http://www.computer-engineering.fr/

Systèmes d'information

Dedalus formule une offre de rachat de la division informatique du groupe Agfa

FLORENCE, PARIS (TICsanté) - L'éditeur de logiciels Dedalus (ex-Medasys) a déposé une "offre ferme" et entamé des "négociations exclusives" en vue de l’acquisition d’une partie de l'activité logiciels de santé du groupe Agfa-Gevaert, ont annoncé le 2 décembre les deux parties, dans deux communiqués distincts.

0 696

En bref

La solution de télésurveillance Satelia intégrée au DPI DxCare

La start-up Satelia, qui développe une application mobile de télésurveillance, a signé un partenariat avec Dedalus, éditeur du dossier patient informatisé DxCare, pour le suivi des patients en chirurgie ambulatoire, a annoncé l’entreprise dans un communiqué de presse le 19 novembre.

0 857

Vos réactions

Afficher/Masquer les commentaires (2)

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
4 + 6 =
http://www.canyon.fr/
https://openbi.org/

Les offres APMjob.com

https://www.dedalus-france.fr/

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • HDI Day

    Le 18/11/2020

  • SantExpo Live (ex-Paris Healthcare Week)

    Du 15/12/2020 au 17/12/2020

  • Consumer Electronics Show (CES) 2021

    Du 11/01/2021 au 14/01/2021

  • 6e JournĂ©es des start-up innovantes du dispositif mĂ©dical

    Le 13/04/2021