Normand’e-Santé victime d’une cyberattaque : des données d’identité de patients compromises, pas de dossiers médicaux

En fin de semaine dernière, le groupement régional d’appui au développement de la e-santé (GRADeS) Normand’e-Santé, dont les bureaux sont situés à Louvigny près de Caen et à Saint-Martin-du-Vivier près de Rouen, a détecté, avec l’ARS (agence régionale de Santé) Normandie et les autorités nationales, une cyberattaque visant des serveurs hébergeant des données d’identité de patients. Plusieurs régions françaises sont touchées à des degrés divers. À ce stade, aucun contenu de dossiers médicaux ne serait concerné.

Les GRADeS, opérateurs de référence des ARS pour le numérique en santé, fournissent aux établissements et professionnels des services numériques liés aux soins et à la coordination. Ce sont ces services régionaux qui ont été ciblés.
Les premières investigations confirment des tentatives échelonnées d’intrusion dans les systèmes d’information, rendues possibles par l’usurpation d’identité de professionnels de santé. Des accès illégitimes ont entraîné la violation de données à caractère personnel (administratives) d’usagers.

Selon les éléments communiqués, l’intrusion se limiterait aux données d’identité : nom, prénom, âge, et le cas échéant numéro de téléphone, adresse e-mail, etc. Les données cliniques et informations contenues dans les dossiers médicaux ne seraient pas impactées à ce stade des analyses.

« Ces accès frauduleux ont mené à la violation de données à caractère personnel (données administratives) d’usagers.  Il apparait des premières investigations que l’intrusion se limiterait aux données d’identité (nom, prénom, âge, le cas échéant numéro téléphone, adresse mail, etc.) de patients. »

Des mesures immédiates ont été prises pour contenir l’incident. Les comptes compromis ont été neutralisés et des dispositifs de sécurité supplémentaires ont été déployés afin de bloquer toute nouvelle tentative de connexion frauduleuse.

Dans le même temps, les structures partenaires ont été informées et les professionnels de santé alertés sur les risques d’usurpation d’identité. Normand’e-Santé a par ailleurs procédé à des déclarations auprès de la CNIL et déposé plainte auprès des services compétents. Enfin, une information à destination des usagers concernés est en cours de préparation afin de les avertir de l’incident et de les sensibiliser au risque accru de tentatives de phishing.

Normand’e-Santé, en lien avec l’ARS Normandie, poursuit les analyses dans un cadre de coordination inter-régions pour assurer la maîtrise complète de l’incident et consolider la sécurisation des accès.