Actualités de l'Urgence - APM
CYBERSÉCURITÉ: LA CNIL MET EN DEMEURE LA SOCIÉTÉ FRANCETEST
Quelque 700.000 données personnelles de santé et résultats de tests antigéniques "de plusieurs centaines de milliers" de patients ont été rendus accessibles en ligne "pendant plusieurs mois" en raison d'une faille de sécurité dans le logiciel de transmission à Sidep des résultats de tests édité par la société Francetest, rapportait le 27 août Mediapart (cf dépêche du 01/09/2021 à 12:57).
Résultats de tests, nom, prénom, genre, date de naissance, numéro de sécurité sociale, adresse de courrier électronique, numéro de téléphone et adresse postale du patient étaient ainsi accessibles en quelques clics.
C'est une patiente qui avait découvert cela après avoir consulté ses propres résultats de test via le lien fourni par son pharmacien. Disposant de bonnes connaissances en informatique, elle a remarqué plusieurs incohérences dans l'URL, à commencer par la mention "wp-content" signifiant "contenu WordPress", un outil de création de sites internet gratuit.
En raccourcissant l'URL, elle a ainsi pu "remonter dans l'arborescence" du site qui n'était pas suffisamment sécurisé pour l'en empêcher et consulter, en clair, "plusieurs fichiers particulièrement sensibles et permettant d'accéder à de nombreuses données".
Le 27 août, la Cnil rapporte avoir reçu "un signalement anonyme" l'informant de l'existence d'une violation de sécurité affectant le site web de Francetest.
"La Cnil a mené des contrôles en ligne et dans les locaux de la société afin d'enquêter sur les circonstances de cette violation de données et vérifier les mesures prises pour assurer la sécurité des données. La base de données exposée concernait 386.970 personnes", a fait savoir la commission.
Deux mois pour sécuriser le service
Même si la Cnil concède que la société "a pris certaines mesures pour remédier à la vulnérabilité à l'origine de la violation de données", elle a jugé que le service Francetest présentait toujours "plusieurs insuffisances en matière de sécurité de données".
"Les données de santé sont hébergées chez un prestataire ne disposant pas d'un agrément HDS [hébergement de données de santé], les processus d'authentification ne sont pas assez robustes, les procédés cryptologiques employés sont faibles et la journalisation (enregistrement des actions des personnes accédant à l'outil) des activités des serveurs est lacunaire", a énuméré la Cnil.
Sa présidente, Marie-Laure Denis, a ainsi décidé de mettre la société "en demeure de prendre toutes les mesures nécessaires pour garantir la sécurité des données de santé qu'elle traite pour le compte de centaines de pharmacies".
Francetest dispose d'un délai de deux mois pour faire le nécessaire.
Compte tenu de la sensibilité des données traitées et de la nécessité d'informer l'ensemble des personnes concernées par les traitements en cause sur l'existence de manquements persistants à la sécurité des données, cette mise en demeure a été rendue publique par la Cnil.
Par ailleurs, la société Francetest étant sous-traitante de centaines de pharmacies responsables de la réalisation opérationnelle des tests antigéniques, la Cnil a adressé un courrier à plus de 300 officines concernées.
La présidente y rappelle notamment l'importance d'assurer la sécurité des données de santé et leurs obligations concernant l'encadrement des relations avec leurs prestataires.
Pour rappel, le logiciel de Francetest n'est pas homologué par le ministère des solidarités et de la santé, qui tient à jour une liste des solutions conformes sur son site.
Fin août, le ministère a indiqué à APMnews mener "des travaux pour modifier le décret Sidep du 12 mai 2020 [cf dépêche du 13/05/2020 à 15:19] afin d'encadrer les systèmes tiers autorisés à alimenter Sidep", et notamment d'inclure "un volet sanctions".
Décision de la Cnil du 4 octobre 2021 mettant en demeure la société Francetest
wz/nc/APMnews
Informations professionnelles
- AFMU
- Agenda
- Annonces de postes
- Annuaire de l'urgence
- Audits
- Calculateurs
- Cas cliniques
- Cochrane PEC
- Consensus
- Consensus SFMU
- COVID-19
- DynaMed
- E-learning
- Géodes
- Grand public
- Librairie
- Médecine factuelle
- Outils professionnels
- Portail de l'urgence
- Recherche avancée
- Référentiels SFMU
- Textes réglementaires
- UrgencesDPC
- Webinaire
- Weblettre
CYBERSÉCURITÉ: LA CNIL MET EN DEMEURE LA SOCIÉTÉ FRANCETEST
Quelque 700.000 données personnelles de santé et résultats de tests antigéniques "de plusieurs centaines de milliers" de patients ont été rendus accessibles en ligne "pendant plusieurs mois" en raison d'une faille de sécurité dans le logiciel de transmission à Sidep des résultats de tests édité par la société Francetest, rapportait le 27 août Mediapart (cf dépêche du 01/09/2021 à 12:57).
Résultats de tests, nom, prénom, genre, date de naissance, numéro de sécurité sociale, adresse de courrier électronique, numéro de téléphone et adresse postale du patient étaient ainsi accessibles en quelques clics.
C'est une patiente qui avait découvert cela après avoir consulté ses propres résultats de test via le lien fourni par son pharmacien. Disposant de bonnes connaissances en informatique, elle a remarqué plusieurs incohérences dans l'URL, à commencer par la mention "wp-content" signifiant "contenu WordPress", un outil de création de sites internet gratuit.
En raccourcissant l'URL, elle a ainsi pu "remonter dans l'arborescence" du site qui n'était pas suffisamment sécurisé pour l'en empêcher et consulter, en clair, "plusieurs fichiers particulièrement sensibles et permettant d'accéder à de nombreuses données".
Le 27 août, la Cnil rapporte avoir reçu "un signalement anonyme" l'informant de l'existence d'une violation de sécurité affectant le site web de Francetest.
"La Cnil a mené des contrôles en ligne et dans les locaux de la société afin d'enquêter sur les circonstances de cette violation de données et vérifier les mesures prises pour assurer la sécurité des données. La base de données exposée concernait 386.970 personnes", a fait savoir la commission.
Deux mois pour sécuriser le service
Même si la Cnil concède que la société "a pris certaines mesures pour remédier à la vulnérabilité à l'origine de la violation de données", elle a jugé que le service Francetest présentait toujours "plusieurs insuffisances en matière de sécurité de données".
"Les données de santé sont hébergées chez un prestataire ne disposant pas d'un agrément HDS [hébergement de données de santé], les processus d'authentification ne sont pas assez robustes, les procédés cryptologiques employés sont faibles et la journalisation (enregistrement des actions des personnes accédant à l'outil) des activités des serveurs est lacunaire", a énuméré la Cnil.
Sa présidente, Marie-Laure Denis, a ainsi décidé de mettre la société "en demeure de prendre toutes les mesures nécessaires pour garantir la sécurité des données de santé qu'elle traite pour le compte de centaines de pharmacies".
Francetest dispose d'un délai de deux mois pour faire le nécessaire.
Compte tenu de la sensibilité des données traitées et de la nécessité d'informer l'ensemble des personnes concernées par les traitements en cause sur l'existence de manquements persistants à la sécurité des données, cette mise en demeure a été rendue publique par la Cnil.
Par ailleurs, la société Francetest étant sous-traitante de centaines de pharmacies responsables de la réalisation opérationnelle des tests antigéniques, la Cnil a adressé un courrier à plus de 300 officines concernées.
La présidente y rappelle notamment l'importance d'assurer la sécurité des données de santé et leurs obligations concernant l'encadrement des relations avec leurs prestataires.
Pour rappel, le logiciel de Francetest n'est pas homologué par le ministère des solidarités et de la santé, qui tient à jour une liste des solutions conformes sur son site.
Fin août, le ministère a indiqué à APMnews mener "des travaux pour modifier le décret Sidep du 12 mai 2020 [cf dépêche du 13/05/2020 à 15:19] afin d'encadrer les systèmes tiers autorisés à alimenter Sidep", et notamment d'inclure "un volet sanctions".
Décision de la Cnil du 4 octobre 2021 mettant en demeure la société Francetest
wz/nc/APMnews