20 novembre 2024 : le Groupe Softway Medical choisit l’agence de presse APMnews pour rétablir les faits et apporter un éclairage objectif sur la situation.
Wassinia Zirar, journaliste experte de la e-santé au sein du média APMnews, fait le point avec la Cellule de Crise du Groupe Softway Medical, constituée des services communication, juridique, DSI, technique, sécurité et réglementaire, afin de clarifier les informations véhiculées par voie de presse depuis le début de cette crise.
Ce qui met le Groupe Softway Medical et son DPI Mediboard hors de cause :
- L’importante fuite de données est causée par la compromission d’un compte applicatif à privilèges de l’établissement client.
- Les données de santé piratées ne sont pas hébergées en SaaS dans les infrastructures HDS du Groupe Softway Medical mais chez un tiers hébergeur.
Retrouvez tous les détails et la chronologie des faits dans la dépêche d’APMnews :
PARIS, 20 novembre 2024 (APMnews) Par Wassinia ZIRAR – Un pirate a mis en ligne mardi sur le dark web les données de quelque 750.000 dossiers patients provenant « d’un établissement du groupe Aléo Santé » client de Softway Medical et victime d’une « usurpation d’un compte applicatif à privilèges« , ont expliqué mercredi matin à APMnews Sherley Brothier, chief technical officer (CTO) et Olivier Berton, directeur des systèmes d’information (DSI) de l’éditeur.
« Hier matin [mardi], nous avons été alertés par un journaliste, qui nous a dit que des données de notre dossier patient informatisé [DPI] Mediboard* circulaient sur le dark web« , a expliqué Sherley Brothier.
« Nous l’avons recontacté et pris les choses en main. Nous avons monté une cellule de crise pour déterminer d’où provenaient ces données et il s’agit d’un établissement du groupe Aléo Santé« , a-t-il poursuivi, sans donner le nom de la structure.
Le groupe Aléo Santé est un réseau de cliniques à Paris et proche banlieue, rappelle-t-on.
Le site spécialisé Clubic a rapporté mardi la diffusion d’une base de données contenant les informations hospitalières et personnelles « de plus de 750.000 personnes ».
« Nous sommes fournisseurs du logiciel de DPI Mediboard* mais c’est l’établissement qui gère son système informatique« , a souligné le CTO.
« Moins de deux heures après avoir été alertés, nous avons pu identifier l’établissement et nous avons informé son DSI et le directeur général. Ils n’étaient pas au courant« , a-t-il rapporté. « Nous nous sommes tenus à leur disposition pour les aider dans leurs investigations et pour les conseiller dans les mesures légales ou techniques à prendre (déposer plainte, contacter les assurances, couper les accès etc.).«
« Concrètement, il s’agit d’une usurpation d’un compte à privilèges, c’est-à-dire que c’est une exfiltration de données liée à une usurpation d’identité d’un personnel de l’établissement.
Ce n’est pas une faille de sécurité complexe, il suffit d’avoir le login et le mot de passe d’un utilisateur pour accéder au DPI et extraire des données« , a poursuivi le CTO.
« Nous avons partagé toutes ces informations au site concerné mais ces données ne sont pas hébergées dans nos infrastructures et il appartient [au site] de mener ses propres investigations.«
L’établissement d’Aléo Santé est, depuis lors, notamment accompagné par le CERT Santé.
Toutefois, le CTO de Softway a relevé que dans la nuit de mardi à mercredi, un « ultimatum » était apparu sur le dark web: le pirate informatique a donné trois jours à l’établissement pour s’acquitter du paiement d’une rançon d’un montant de 5.000 dollars, sous peine de diffusion de l’ensemble des données des plus de 750.000 dossiers.
« Nous allons continuer à encourager nos établissements clients à être en veille et à activer régulièrement des mesures d’hygiène cyber, à vérifier les accès et à auditer », a fait savoir Sherley Brothier. « Nous mettons en œuvre des mesures de cybersécurité et nous allons continuer à communiquer pour sensibiliser car la santé est un secteur sensible mais les établissements ont à leur portée les ‘traces’ et le nombre d’accès. »
Chez l’éditeur, une « organisation interne existe pour gérer ces situations », a expliqué le DSI Olivier Berton. « Par le biais de la certification HDS [hébergeur de données de santé] et la norme ISO 27.001, nous faisons des simulations de crise très régulièrement pour être réactifs quand elles surviennent. Nous avons adopté de bons usages et, notamment, la revue des accès et des habilitations, que nous faisons tous les mois, et nous essayons de transmettre cela à nos clients. »
« Il est important de le dire: nous ne sommes pas victimes d’une cyberattaque », a insisté mercredi matin Jean-Baptiste Franceschini, cofondateur de Softway Medical, même si « tous les services du groupe se sont mobilisés » pour accompagner l’établissement impacté.
Mercredi matin, le groupe de cliniques n’avait pas encore communiqué mais l’éditeur a confirmé qu’il n’y avait pas eu d’incidence sur la continuité des soins et de l’activité.
wz/rm/APMnews
[WZ4SN8P8V]
