Cette intrusion «se limiterait aux données d’identité (nom, prénom, âge, le cas échéant numéro de téléphone, adresse mail, etc.) des patients», affirment les autorités. Aucune donnée médicale ne serait concernée par cette attaque.
Passer la publicité Passer la publicitéUne nouvelle attaque informatique contre des hôpitaux. En fin de semaine dernière, les services numériques de santé de plusieurs régions françaises, dont les Hauts-de-France et la Normandie, ont été la cible d’une intrusion informatique. Les pirates ont accédé aux serveurs où étaient stockées des données de patients.
L’Agence régionale de santé (ARS) des Hauts-de-France a confirmé ce lundi dans un communiqué «qu’une cyberattaque avait été menée contre les serveurs sur lesquels sont hébergées des données d’identité de patients d’hôpitaux publics de la région». Même chose en Normandie, a indiqué l’ARS de la région et Normand’e-Santé, le centre informatique régional pour la santé, dans un communiqué distinct. «Plusieurs régions de France sont concernées à des degrés différents par cette attaque», affirme-t-il.
Passer la publicitéDonnées médicales épargnées
Selon les premières constatations, les hackers ont pu s’introduire dans le système «en usurpant l’identité d’un professionnel de santé». Les comptes compromis ont depuis été bloqués et «des mesures de sécurité renforcées ont été immédiatement mises en œuvre pour éviter toute nouvelle intrusion malveillante», précise l’ARS des Hauts-de-France. Une analyse approfondie des serveurs est en cours afin de déterminer l’ampleur exacte de la fuite.
Les investigations menées jusqu’ici se veulent rassurantes : «l’intrusion se limiterait aux données d’identité (nom, prénom, âge, le cas échéant numéro de téléphone, adresse mail, etc.) des patients dont les données se trouvaient sur ces serveurs». En revanche, «aucune donnée contenue dans les dossiers médicaux des patients ne serait concernée par cette cyberattaque». Autrement dit, les informations liées aux soins – motifs de consultation, pathologies, médecins ou services concernés – n’ont pas été compromises. Cette attaque n’a par ailleurs «aucun impact sur le fonctionnement des hôpitaux de la région et les services numériques de santé de la région», assure l’autorité sanitaire des Hauts-de-France. Les établissements continuent donc de fonctionner normalement.
À lire aussi La protection «cyber» des hôpitaux jugée insuffisante par la Cour des comptes
Risque d’hameçonnage
Si les données médicales n’ont pas fuité, la menace n’est pas négligeable pour autant. L’exploitation de ces informations personnelles pourrait alimenter des campagnes de fraude en ligne. Le principal danger, souligne l’ARS, concerne «les pratiques d’hameçonnages (“phishing”)». Autrement dit : l’utilisation de mails ou SMS frauduleux, imitant des communications officielles, pour soutirer des informations sensibles aux victimes, tels les coordonnées bancaires ou de cartes de crédit.
L’agence insiste sur une règle de prudence élémentaire : «un professionnel ou un établissement de santé ou médico-social ne demandera jamais la transmission, par email, téléphone ou SMS, d’éléments personnels (coordonnées bancaires, numéro de sécurité sociale, mot de passe…)». Les patients concernés seront informés dans les prochains jours. En attendant, les autorités rappellent que toute demande suspecte doit être signalée, et qu’un guide pratique sur l’hameçonnage est disponible sur le site Service-Public.fr.