Dernières actualités : données personnelles

L’Usine digitale

L’Assurance retraite touchée par une fuite de données, 370 000 bénéficiaires concernés

Après Boulanger, Cultura ou encore Truffaut, c’est au tour de la Caisse nationale d’assurance vieillesse d’être victime d’une fuite de données, via un portail destiné aux prestataires de l’action sociale des retraités. D’après l’organisme, les pirates informatiques se sont emparés des adresses et numéros de sécurité sociale de 370 000 bénéficiaires. L’Assurance retraite a en effet annoncé ce 13 septembre dans un communiqué avoir été la cible d’une fuite de données à travers le Portail partenaires de l’action sociale (PPAS), qui gère la facturation des prestataires de l’action sociale des retraités. “Des données personnelles (adresses, numéros de Sécurité sociale, montant approximatif des ressources) relatives à 370 000 bénéficiaires environ ont été compromises”, explique la Caisse nationale d’assurance vieillesse (Cnav).

La Cnav précise que les données personnelles subtilisées sont “pour la plupart anciennes”, ajoutant que certaines personnes concernées sont décédées. Elle insiste sur le fait qu’aucune donnée bancaire, ou relative au paiement, à la retraite ou à la carrière n’a été volée. Les pirates informatiques se sont introduits dans les systèmes en usurpant des comptes de prestataires utilisant le portail. À l’heure où nous écrivons ces lignes, le portail PPAS est toujours inaccessible, renvoyant sur une page de maintenance.

Disponible sur: usine-digitale.fr

ICO (autorité anglaise)

Décision provisoire d’infliger une amende de 6 millions de livres sterling à un fournisseur de logiciels à la suite d’une attaque par ransomware en 2022 qui a perturbé les services du NHS et des soins sociaux

Nous avons provisoirement décidé d’infliger une amende de 6,09 millions de livres sterling à Advanced Computer Software Group Ltd (Advanced), après avoir constaté que le fournisseur n’avait pas pris les mesures nécessaires pour protéger les informations personnelles de 82 946 personnes, y compris certaines informations personnelles sensibles.

Advanced fournit des services informatiques et des logiciels à des organisations d’envergure nationale, dont le NHS et d’autres prestataires de soins de santé, et traite les informations personnelles des personnes pour le compte de ces organisations en tant que responsable du traitement des données. La décision provisoire d’infliger une amende est liée à un incident de ransomware survenu en août 2022, au cours duquel nous avons provisoirement constaté que des pirates informatiques avaient accédé à un certain nombre de systèmes de santé et de soins d’Advanced via un compte client qui ne disposait pas d’une authentification multifactorielle.

En particulier, nous avons provisoirement constaté que des informations personnelles appartenant à 82 946 personnes ont été exfiltrées à la suite de l’attaque. La cyberattaque a fait l’objet d’une large couverture médiatique au moment de l’incident, avec des rapports faisant état de l’interruption de services essentiels tels que le NHS 111, et d’autres personnels de santé incapables d’accéder aux dossiers des patients. Les données exfiltrées comprenaient des numéros de téléphone et des dossiers médicaux, ainsi que des informations sur la manière d’entrer au domicile de 890 personnes recevant des soins à domicile.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

L’AP-HP victime d’une panne informatique, des applications internes hors-service

Le CHU d’Île-de-France a été touché par une panne informatique le 3 août au matin en raison d’un défaut électrique sur un prestataire hébergeant une partie de ses serveurs. Les applications internes à certains établissements, les messageries et la téléphonie ont été impactées. Un retour à la normale est attendu ce lundi. Le CHU explique dans un communiqué que la panne informatique est due à un défaut électrique “qui a touché le prestataire en charge de l’hébergement d’une partie de ses serveurs”. La panne chez l’hébergeur est survenue vers 11 h et a été résolue vers 14 h, mais les 38 hôpitaux d’Île-de-France en subissent toujours les effets. L’AP-HP espérait un rétablissement complet dimanche après-midi, avant de reporter le retour à la normale à ce lundi.

Disponible sur: usine-digitale.fr

ICO (autorité anglaise)

Déclaration de l’ICO en réponse à la cyberattaque de Synnovis

Le 3 juin, Synnovis, un laboratoire de pathologie qui traite les tests sanguins pour le compte d’un certain nombre d’organisations du NHS (« National Health Service »), principalement dans le sud-est de Londres, a été victime d’une cyberattaque. Le NHS a été informé qu’un groupe de cybercriminels a publié hier soir des données qui, selon eux, appartiennent à Synnovis et ont été volées dans le cadre de cette attaque. La National Crime Agency et le National Cyber Security Centre s’efforcent de vérifier le plus rapidement possible les données contenues dans les fichiers publiés.

Nous comprenons que les gens puissent être préoccupés par cette affaire et au fur et à mesure que de nouvelles informations seront disponibles grâce à l’enquête complète de Synnovis, le NHS continuera d’informer les patients et le public sur cette page web. Un service d’assistance téléphonique a été mis en place pour répondre aux questions. Dès que nous aurons plus d’informations sur la fuite de données et sur la nature de ces données, nous les publierons d’abord sur cette page. Les patients doivent continuer à se rendre à leurs rendez-vous et à accéder aux soins urgents comme d’habitude.

En réaction, un porte-parole de l’ICO a déclaré :
« Bien que nous continuions à enquêter sur cette affaire, nous sommes conscients de la sensibilité de certaines des informations en question et de l’inquiétude qu’elles ont pu susciter. « Nous conseillons vivement à toute personne préoccupée par la manière dont ses données ont été traitées de consulter notre site web pour obtenir des conseils et de l’aide, ainsi que de visiter le site web de NHS ».

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Agence du numérique en santé (via Légifrance)

Publication du nouveau référentiel « HDS », c’est-à-dire les règles à respecter pour l’hébergement des données de santé

Le 16 mai dernier, a été publié au Journal Officiel la dernière version du référentiel de l’agence du numérique en santé concernant l’hébergement des données de santé. D’après les évolutions telles que présentées dès décembre 2023 par l’ANS, ette nouvelle version du référentiel de certification HDS permet de :

  • Renforcer de manière progressive la souveraineté des données avec de nouvelles exigences pour renforcer les garanties en termes de protection (voir focus ci-après) ;
  • Clarifier le périmètre des types d’activité d’hébergement – notamment l’activité dite “5” concernant l’administration et l’exploitation, qui faisait l’objet d’interrogations, et sur laquelle un consensus général a été trouvé – et renforcer la transparence des hébergeurs sur les types d’activités sur lesquelles ils sont certifiés ;
  • Préciser l’articulation entre les exigences de la certification HDS et celles de la certification SecNumCloud proposée par l’ANSSI.
  • Intégrer dans le référentiel de certification HDS certaines évolutions de la norme ISO 27001.

La publication de cet arrêté approuvant la version révisée du référentiel marque la fin d’une période de 3 mois suivant sa notification à la Commission européenne. Les organismes certificateurs bénéficient désormais d’un délai de six mois pour adapter leur procédure de certification au nouveau référentiel HDS.

Disponible sur : legifrance.gouv.fr

L’Usine digitale

Cyberattaque à l’hôpital de Cannes : les hackers de LockBit publient 61 gigaoctets de données

L’hôpital Simone-Veil, à Cannes, avait été touché le 16 avril par une cyberattaque. Le groupe de hackers LockBit avait revendiqué l’opération et émis une demande de rançon expirant le 1er mai au soir. Ce matin, 61 gigaoctets de données personnelles de patients et d’agents publics (des bilans de santé, psychologiques, …), et de données relatives au fonctionnement de l’hôpital, ont été publiés sur le dark web.

Disponible sur: usine-digitale.fr

L’Usine digitale

Le consortium Kaiser révèle une violation de données de santé, 13 millions d’Américains concernés

Le Kaiser Foundation Health Plan (KFHP), entité opérant pour le compte de Kaiser Permanente, l’un des plus grands prestataires de soins américain, a annoncé qu’il allait informer des millions de patients d’une violation de données. Suivant un avis déposé auprès du gouvernement américain le 12 avril, et rendu public le 25 avril, les données personnelles de 13,4 millions de personnes sont concernées. Les notifications de la fuite de données aux patients débuteront début mai.

Disponible sur: usine-digitale.fr

L’Usine Digitale

UnitedHealth confirme que des hackers ont volé les données de santé de nombreux Américains

Le groupe de santé UnitedHealth, dont sa branche Change Healthcare (qui s’occupe de l’assurance et de la facturation pour des centaines de milliers de pharmacies) a été touchée par une cyberattaque fin février, a confirmé le 22 avril que l’infiltration dans ses systèmes avait entraîné un vol massif de données de santé privées des Américains. “Sur la base d’un premier échantillonnage de données ciblées à ce jour, la société a trouvé des fichiers contenant des données de santé protégées, ou des informations personnellement identifiables, qui pourraient couvrir une proportion substantielle de personnes en Amérique”, écrit la firme dans un communiqué.

Disponible sur: usine-digitale.fr

L’Usine digitale

Une cyberattaque touche l’hôpital de Cannes, les opérations non urgentes reportées

Selon une information de France 3 relayée par l’Usine Digitale, le centre hospitalier Simone-Veil, à Cannes, est victime d’une cyberattaque paralysant ses systèmes. Une cellule de crise a été activée, et toutes les opérations non urgentes, “n’entraînant pas de perte de chance” sont reportées jusqu’au retour à la normale. “Les professionnels médicaux, non médicaux, logistiques, administratifs et techniques sont mobilisés pour mener les investigations nécessaires”, explique l’hôpital de Cannes. À ce stade, l’établissement de santé parle d’“incident technique”.

Disponible sur: usine-digitale.fr

HAAS Avocats

RGPD : Deux opérateurs de tiers payant sanctionnés par la CNIL

RGPD : Deux opérateurs de tiers payant sanctionnés par la CNIL

Par Haas Avocats

Fin janvier, deux opérateurs, Viamedis et Almerys, assurant la gestion du tiers payant pour des nombreuses complémentaires santé et mutuelles ont subi une violation de données.

Disponible sur: haas-avocats.com

Retour en haut