Fuite de données Francetest

0

La mise en place du Système d’Information SI-DEP (Système d’Informations de DEPistage) a donné lieu à de multiples polémiques lors de sa création par le décret 2020-551 du 12 mai 2020 publié au journal officiel du 13 mai 2020. C’est une plateforme sécurisée où sont systématiquement enregistrés les résultats des laboratoires de tests Covid-19. Elle permet de s’assurer que tous les cas positifs sont bien pris en charge. La CNIL, Commission nationale de l’informatique et des libertés qui est le régulateur des données personnelles avait donné un avis positif sur la création du SI-DEP le 21 janvier 2021. À cette occasion, la CNIL a constaté, entre autres, un niveau de conformité satisfaisant de ce logiciel par rapport aux règles de protection des données personnelles.

Le site Mediapart, qui a signalé cette fuite, indique que la cause de la fuite proviendrait d’une faille de sécurité dans le logiciel de transmission au SI-DEP des résultats de tests édité par la société Francetest et utilisant la suite logicielle WordPress. Il semblerait que les règles de base de protection d’accès à l’arborescence des fichiers de ce site n’aient pas été implémentées par l’éditeur Francetest.

Une des difficultés de cette exposition de données provient du fait que Francetest ne faisait pas partie du logiciel SIDEP, mais avait été développé et vendu pour pallier un défaut d’ergonomie de SIDEP

Au-delà du cas d’espèce d’exposition massive de données personnelles confidentielles de santé, dans un contexte où la pandémie génère tellement de polémiques, nous pouvons nous poser une question basique de Cybersécurité. Faut-il prendre le risque de déployer des solutions logicielles annexes et périphériques à un logiciel sensible… mais réputé conforme aux règles de protection des données (RGPD et autres), si le logiciel sensible présente des challenges ergonomiques et si ces « satellites » n’ont pas été suffisamment sécurisés ?

Dans tous les cas, le principe du « maillon faible » devrait être rappelé à tous les intégrateurs de solutions. La résistance « Cyber » d’un ensemble de logiciels ne dépend que de son maillon le moins sécurisé.

Gageons que cet exemple encouragera des vérifications plus complètes sur les solutions intégrées… et que des actions d’amélioration d’ergonomie du SIDEP seront également considérées.

About Author

Avatar

partner et expert en management des systèmes d’information chez ISG, cabinet mondial de conseil et de recherche en technologie.

Leave A Reply