https://vieviewer.com/
https://www.sham.fr/vos-donnees?utm_source=site_web&utm_medium=banner&utm_campaign=banniere_gif_ticsante_octobre&utm_term=&utm_content=

Systèmes d'information

Doctolib victime d'un vol de données concernant plus de 6.000 rendez-vous

0 695

PARIS (TICsanté) - Le spécialiste de la gestion de rendez-vous médicaux Doctolib a été victime le 21 juillet d'un "acte malveillant qui a permis d'accéder illégalement aux informations administratives de 6.128 rendez-vous", a-t-il fait savoir dans un communiqué le 23 juillet.

Les informations concernées sont "le nom, le prénom, le sexe, le numéro de téléphone et l'adresse email du patient, ainsi que la date de rendez-vous, le nom et la spécialité du professionnel de santé concerné par le rendez-vous", a-t-il énuméré.

Doctolib indiquait mi-juillet à TICsanté que les données des patients étaient anonymisées. Interrogée à nouveau le 23 juillet à ce sujet, la société a répondu que "les données de santé des patients utilisateurs de Doctolib sont bien anonymisées et chiffrées à plusieurs niveaux. L'auteur de l'acte malveillant est parvenu à accéder à une 'vue patient' où l'information est déchiffrée", sans détailler ce qu'est cette "vue patient" ni comment l'attaquant a pu y accéder.

"La mise en place du chiffrement de bout en bout, que nous avons engagée, empêchera ce type d'incident", a-t-elle ajouté.

Les données relatives aux rendez-vous médicaux, telles que le nom ou la spécialité du professionnel de santé, sont couvertes par le secret professionnel, note-t-on.

Dans son communiqué, la société assure qu'"aucune donnée médicale n'a pu être lue: aucun motif de rendez-vous, aucun document médical, aucune information relative au dossier médical des patients n'a été concernée. Aucun mot de passe n'a pu être lu".

"Rien ne nous permet de conclure à ce jour à une utilisation malveillante de ces informations" et "aucune modification de ces informations" n'a été constatée.

Doctolib a "très rapidement" mis fin à la cyberattaque et identifié sa source.

"Cet incident ne concerne pas les rendez-vous pris sur www.doctolib.fr ou sur le logiciel de gestion de cabinet de Doctolib, mais des rendez-vous pris sur certains logiciels tiers connectés à Doctolib", a-t-elle assuré dans son communiqué.

Interrogée par TICsanté pour savoir qui, de Doctolib, des établissements utilisateurs de sa solution, des éditeurs de logiciels tiers ou de l'hébergeur de données, était visé, la société a confirmé que l'attaquant "a ciblé Doctolib".

La société est "en lien avec les cabinets et les établissements concernés, qui sont en train de contacter les patients concernés".

Une plainte a été déposée.

Doctolib a informé la Commission nationale de l’informatique et des libertés (Cnil) et est aussi "en lien" avec l'Agence nationale de la sécurité des systèmes d'information (Anssi) et de l'Agence du numérique en santé (ANS, ex Asip santé), a-t-elle fait savoir à TICsanté.

Elle a précisé n'avoir "jamais fait l'objet jusqu'à présent de ce type d'acte".

"Nous n'avons pas subi de fuite de données, mais avons été victimes d'un acte malveillant isolé qui a permis à une personne de lire temporairement des informations administratives limitées sur un petit nombre de rendez-vous", a déclaré la société.

Les informations de ces 6.128 rendez-vous équivalent à "0,02% des rendez-vous pris sur Doctolib en un mois", a-t-elle ajouté.

Des "accusations fausses"

Une enquête de Télérama publiée le 16 juillet accuse Doctolib de faire preuve de "légèreté" concernant le secret médical, note-t-on.

S'appuyant sur les témoignages anonymes d'anciens salariés de la société, l'article évoque "une base de données des patients partagée sans mot de passe sur des clés USB ou via le service d'envoi de fichiers WeTransfer" ou encore un délai de "deux ou trois semaines pour corriger une faille de sécurité".

"Doctolib est sous le coup d'une enquête de la Cnil, qui a diligenté deux contrôles au premier trimestre 2020", ajoute le magazine.

Stanislas Niox-Chateau, cofondateur et président de Doctolib, a rejeté les "accusations" de Télérama, les qualifiant de "fausses", dans un communiqué publié le même jour.

"Comme toute entreprise du numérique, Doctolib fait l'objet de contrôles (et non d'enquêtes) réguliers de la part de la Cnil, et c'est tout à fait normal", a-t-il répondu.

"Doctolib n'héberge aucune donnée de santé" et n'a pas vocation à être certifié hébergeur de données de santé (HDS), a-t-il estimé. Les données de ses utilisateurs sont hébergées par AWS, la filiale cloud du géant américain Amazon, qui est certifiée HDS.

Interrogée par TICsanté sur un éventuel changement de doctrine à la suite de l'attaque du 21 juillet, la société a indiqué "ne pas avoir de raison de revenir sur cette position aujourd'hui".

LĂ©o Caravagna
leo.caravagna@apmnews.com

http://www.computer-engineering.fr/

Systèmes d'information

Le GHT Grand Paris Nord-Est accélère la convergence de ses systèmes d'information

MONTFERMEIL (Seine-Saint-Denis) (TICsanté) - Quelques mois après son arrivée à la tête de la direction des systèmes d'information (DSI) du groupement hospitalier de territoire (GHT) Grand Paris Nord-Est (GPNE; ex-93 Est), Quentin Demanet fait le point sur les chantiers de convergence à mener et revient sur le projet avorté de "DSI commun à deux GHT" avec le groupement hospitalier de la Plaine de France.

2 646

En bref

Le CHU de Rennes confie à Doctolib la prise de rendez-vous en ligne pour sa maternité

Le CHU rennais propose depuis le 12 septembre, pour sa maternité, la prise de rendez-vous médicaux en ligne via son site internet (www.chu-rennes.fr) et sur Doctolib.fr, partenaire avec lequel il fournit ce service instantané, gratuit et disponible 24h/24.

0 655

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
1 + 9 =
http://www.canyon.fr/
https://openbi.org/

Les offres APMjob.com

https://www.dedalus-france.fr/

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • HDI Day

    Le 18/11/2020

  • SantExpo Live (ex-Paris Healthcare Week)

    Du 15/12/2020 au 17/12/2020

  • Consumer Electronics Show (CES) 2021

    Du 11/01/2021 au 14/01/2021

  • 6e JournĂ©es des start-up innovantes du dispositif mĂ©dical

    Le 13/04/2021