Santé : 47 500 dossiers patients français accessibles en ligne

0

Entre mi-juillet 2019 et début septembre 2019, Greenbone Networks a mené une analyse d’environ 2 300 systèmes d’archivage d’images médicales connectés à Internet.

Selon le rapport, sur les 2 300 systèmes d’archives analysés dans le monde, 590 ont été identifiés comme accessibles sur Internet. En tout, ils contiennent plus de 24 millions d’enregistrements de données provenant de patients de 52 pays différents. Plus de 737 millions d’images sont liées à ces données patients, dont environ 400 millions sont accessibles ou facilement téléchargeables sur Internet. Par ailleurs, 39 systèmes permettent d’accéder aux données des patients via un Web Viewer HTTP non crypté, sans aucune protection.

La France apparaît également dans le rapport puisque les experts de Greenbone Networks ont détecté 7 serveurs médicaux non sécurisés en France. Celles-ci hébergeaient plus de 2,6 millions d’images en libre accès dans 47 500 dossiers patients.

A noter que pour identifier ces données, les experts de Greenbone se sont contentés d’utiliser des outils en ligne de recherche d’équipements IoT.

La disponibilité en ligne de fichiers à caractère hautement confidentiel démontre que les organisations et les individus n’ont pas pleinement conscience des risques encourus lorsqu’ils hébergent des documents de nature médicale sur des serveurs accessibles depuis Internet. Pour réaliser leur étude, les experts de Greenbone Networks ont utilisé des outils accessibles en ligne de découverte d’équipements connectés. Ils se sont contentés de rechercher les systèmes intégrant le protocole DICOM, un standard technologique basé sur TCP/IP  utilisé notamment par les acteurs de la santé pour l’échange de données médicales. Autant dire que ce type de recherche est accessible au plus grand nombre, et qu’une connaissance poussée des systèmes d’information n’est pas nécessaire.

Il s’agit donc d’une victoire facile pour des personnes mal intentionnées. La compréhension des risques de sécurité dans le secteur de la santé est insuffisant. Non seulement cette approche dilettante de la protection des données soumet les organismes concernés à des risques de représailles via des réglementations comme le RGPD, mais surtout elle met en danger les patients dont les données privées sont rendues publiques. Bien souvent, les entreprises ne savent pas quelles informations personnelles sont présentes dans les données ou dans les copies de données qu’ils transfèrent d’un environnement à un autre.

Pour masquer les données, elles ont recours à un mélange de scripts et d’outils maison, mais cette méthode peut être source d’erreur et n’est pas pérenne. D’après les recherches d’IDC, plus de 80 % des organisations utilisent des scripts maison pour masquer les données et les appliquent au moment de la création de la copie. Cette approche est sujette aux erreurs et rend plus difficile pour les entreprises de se conformer aux réglementations en vigueur. Une bonne pratique en la matière consiste à identifier et masquer de la manière la plus automatisée possible les informations personnelles qu’elles contiennent.

About Author

Christophe Lambert

Ingénieur Système et Responsable grands comptes chez Cohesity

Leave A Reply