Le fournisseur faisait fuiter des images sensibles et confidentielles

mercredi 19 février 2020, par Bruno Benque

Comment une société fournissant du matériel photo et vidéo aux établissements de Santé a-t-elle pu générer une grande fuite de données de Santé ? C’est ce que nous explique la plateforme VPNMentor, laboratoire de recherche en cybercriminalité, dans une étude dédiée à cet épisode qui risque d’atteindre les établissements de Santé impliqués et les patients eux-mêmes, sans parler de l’entreprise elle-même...

Le système de Santé utilisant de plus en plus les outils numériques, il génère d’énormes volumes de données qu’il est important de sécuriser lorsque l’on les archive. Mais cela n’est pas toujours vérifié.

Découverte d’une base de données de Santé appartenant à un fournisseur

La presse relate de temps en temps des dysfonctionnements de ce type, avec des fuites de données de Santé partout dans le monde. La plateforme VPNMentor, gros laboratoire de recherche en cybercriminalité, a donné récemment un exemple de diffusion d’informations de ce type. Elle a découvert une base de données ayant fait l’objet d’une violation appartenant à la société française NextMotion. Cette entreprise fournit aux établissements spécialisés en dermatologie, cosmétique ou chirurgie plastique, des appareils photo numériques et des caméras vidéo pour leurs patients.

Une société aux pratiques formalisées mais ...

La base de données ainsi interceptée contenait 100 000 images très sensibles de profil de patients et d’images de leurs visages ou de parties de leurs corps, téléchargées via le logiciel propriétaire de NextMotion, rendant ainsi ces patients incroyablement vulnérables. Pourtant, cette société, créée en 2015 par une équipe de chirurgiens plasticiens, ne fait pas dans l’amateurisme. Elle s’est développée rapidement et est présente dans 35 pays dans le monde. Mais force est de constater qu’elle n’a pas pris les précautions nécessaires bien qu’elle annonce le contraire sur son site.

Près de 900 000 fichiers individuels interceptés

« Toutes vos données sont 100% sécurisées, stockées sur des clouds médicaux conformes aux dernières réglementations en matière de stockage des données de santé dans votre pays (GDPR, HIPAA, ISO, etc.) », y est-il clairement mentionné. Mais VPNMentor a découvert que NextMotion utilisait une base de données hébergée par Amazon Web Services (AWS) S3 pour stocker les fichiers d’images des patients et d’autres données, mais ne l’a pas complètement sécurisée. Et son équipe de chercheurs a eu accès à près de 900 000 fichiers individuels, images très sensibles, fichiers vidéo et documents liés à la chirurgie plastique, aux traitements dermatologiques ou consultations effectuées par des cliniques utilisant la technologie NextMotion.

Des risques pour l’entreprise, pour l’établissement de Santé et pour les patients

Le risque, pour elle, est évidemment qu’en exposant les fichiers des patients, elle pourrait être tenue responsable lors d’éventuelles actions en justice des patients eux-mêmes ou des organismes de réglementation des pays dans lesquels ils se trouvent, et notamment sur le RGPD en Europe. C’est aussi de voir les établissements se détourner d’elle, ou pire voir ses concurrents répliquer sa technologie. Ensuite, cela pourrait salir la réputation des établissements de Santé impliqués alors qu’ils satisfont, généralement, aux critères de qualité élaborés par la HAS. Pour les patients enfin, cet épisode est une entorse grave à toutes les recommandations relatives à la confidentialité des données de Santé et un risque significatif de voir ces informations utilisées à des fins malveillantes.

Voir l’étude VPNMentor dans son intégralité ICI.

On ne cessera jamais de prévenir les acteurs du système de Santé : il est primordial d’acquérir une culture solide de cybersécurité afin de prévenir ce type de dysfonctionnement.

Bruno Benque
Rédacteur en chef www.cadredesante.com
bruno.benque@cadredesante.com
@bbenk34


Partager cet article

TOUT L’ÉQUIPEMENT DES CADRES DE SANTÉ

IDE Collection a regroupé tout le matériel nécessaire au management de vos équipes : livres, revues, fournitures, stylos, tenues, idées cadeaux...

Découvrir nos produits

Vous recrutez ?

Publiez vos annonces, et consultez la cvthèque du site EMPLOI Soignant : des milliers de profils de soignants partout en France.

En savoir plus