Été, bilan chaud, chaud, chaud !

En juin, la Cnil prononçait une sanction pour défaut de protection d’un site Web à l’encontre de la société Sergic. Comptes des clients accessibles sans authentification préalable, pièces administratives (copies de cartes d’identité, de cartes Vitale, etc.) entièrement accessibles, bug connu de l’entreprise depuis plus de six mois, bref, ils ont légèrement cherché la boîte à gifles chez Sergic. D’autant que les éléments susnommés semblaient être conservés ad vitam æternam. 400 000 euros d’amende, et pan !

En juillet, là on rigole moins : c’est le tour d’un hôpital aux Pays-Bas de se voir infliger une amende de la Cnil locale pour défaut de protection des dossiers patients informatisés. Motif : le DPI d’une célébrité de la téléréalité nationale a été consulté par 85 employés de l’hôpital, une bonne partie de ces agents n’étant en rien impliqués dans la prise en charge du patient en question. Je dis que l’on rigole moins, parce qu’il n’est pas certain que le même cas ne se produise chez nous. Certes, le cas d’un VIP est particulier, la curiosité malsaine étant beaucoup plus forte que pour un patient lambda – ce qui n’est en rien une excuse –, et dans cette dernière hypothèse les indiscrétions toucheraient beaucoup moins d’agents potentiels – ce qui n’est en rien une satisfaction. Mais, clairement, le niveau de prise de conscience de la confidentialité des données patients frise le zéro absolu dans pas mal d’endroits, situation aggravée par le fait qu’il n’y a presque jamais de sanctions prises à l’encontre des agents indélicats. De ce que j’ai pu voir, seuls les hôpitaux psychiatriques ont une réelle culture de la confidentialité, ce qui s’explique évidemment par la sensibilité particulière des données qu’ils traitent. Mais la consultation du dossier médical d’un agent hospitalisé dans une structure par ses collègues, du DPI d’un patient par un agent qui se trouve être son voisin de palier ou tout simplement d’un patient par un agent qui se trouve être un parent – son père, sa mère, son conjoint ; eh oui ! c’est interdit – sont légion. Pour le moment, la seule disposition qui fonctionne pour les VIP est de rendre le dossier totalement anonyme (appeler le VIP par un autre nom bidon dans le DPI), mais, pour changer cet état de fait, il va falloir taper une bonne fois pour toutes et faire un exemple.

En août, les 120 établissements du groupe Ramsay étaient victimes d’une attaque par cryptolocker. Il y a eu pas mal de buzz sur ce sujet, et l’on ne peut que souhaiter à la DSI du groupe de recouvrer rapidement la disponibilité des applications les plus sensibles. Ce qui interroge, c’est que l’on n’a aucun détail : par quel vecteur est arrivé le cryptolocker (messagerie, clé USB ?), pourquoi tout le SI semble avoir été compromis (en principe, ce sont surtout les serveurs de fichiers et la messagerie qui sont touchés), pourquoi – alors que les articles de presse mentionnent un arrêt quasi total du SI – la direction du groupe communique sur le fait qu’il n’y a pas d’impact patient (si cela devait arriver dans un gros établissement français, ce serait une vraie catastrophe avec, dans certains cas, des déroutements de patients vers d’autres structures) ? Bref, on ne sait pas grand-chose, et c’est bien dommage parce que davantage d’informations permettraient aux autres RSSI de communiquer auprès de leurs instances respectives pour accroître le préventif.

Ah oui ! j’allais oublier : le 22 août dernier, on apprenait que des petits malins s’en étaient pris au fonds de pension de l’armée US par cyberattaque. Fallait oser tout de même, c’est un coup à se retrouver à Guantanamo.

Sinon, dans la catégorie des découvertes de l’été, je me permets de vous en signaler au moins deux. D’abord, l’excellente série de podcasts de No Limit Secu sur l’histoire du droit numérique, avec Marc-Antoine Ledieu en guest star. On part de loin dans le temps (quasi la préhistoire), mais même si les textes mentionnés et débattus sont connus de tous, la mise en perspective historique est très bien faite, et surtout Marc-Antoine Ledieu est extrêmement didactique. À écouter sans modération. Et, pour terminer, l’ouvrage Ubérisons l’État avant que d’autres ne s’en chargent, de Clément Bertholet et Laura Létourneau : une réflexion sur l’avenir des services publics, que l’on peut lire en gardant en tête ce qui pourra ou non s’appliquer au monde de la santé.

Souriez, c’est la rentrée.