Forum Clubic

Commentaires : Violation des données médicales : la CNIL met la pression et confirme la source de la fuite

Le gendarme des données, la CNIL, a confirmé mercredi que les données de santé volées proviendraient bien de laboratoires d’analyse médicale. L’autorité en profite aussi pour lancer un appel.

faut taper au porte monaie de ces labos

« La CNIL en profite ainsi pour presser tout laboratoire ou entreprise qui se serait aperçu de la violation et ne l’aurait pas encore dévoilée. »

Quand on se fait voler des données c’est à priori qu’on ne s’aperçoit de rien, encore plus pour un laboratoire qui n’a pas pour spécialité la sécurité informatique… Mais bon si c’est la seule attitude qu’ils ont trouvés pour que ces entreprises sensibles accordent plus d’importance à la sécurité… La peur du gendarme… triste monde.

@keyplus ? et ça améliorerait quoi ? au contraire leur donner plus de moyens pour se sécuriser plutôt que sortir des budgets pour du vent ou jouer au redresseur de torts…

3 J'aime

Comment savoir si notre nom se trouve dans le document ? Il risque vite d’être utilisé par les organismes de ressources humaines dans leurs screenings de potentielles recrues.

1 J'aime

Ah oui c’est ça, on va payer des entreprises pour faire ce qu’elles devraient faire de base sachant le caractère sensible des infos qu’elles détiennent?!?

C’EST LEUR DEVOIR de faire en sorte que le secret médical reste secret.

L’entreprise, ou les entreprises à l’origine de cette fuite, par la négligence de leur devoir de protection du secret médical, sont en tort.

Quand un citoyen manque à son devoir, on le récompense avec de l’argent?

C’est compliqué rien n’est inviolable. Penser le contraire est une erreur.
Donc faire peser un risque financier au pifomètre n’est pas nécessairement la bonne solution.

Si ca se trouve le système est correctement sécurisé, et c’est un mec qui bossait là-bas qui a sortie les données.
SI ca se trouve un phpmyadmin traine/ait en publique avec un admin/1234.

Le risque financier devrait être en correspondance avec la situation.

4 J'aime

C’est surtout aux gens qui se font voler leur données que je pense et aux solutions, punir celui qui a été piraté n’a pas grand chose de productif selon mon point de vue. Je te trouve bien dure, la sécurité informatique c’est chaud et personne n’est à l’abri de se faire pirater… De grandes entreprises IT se font avoir aussi alors un laboratoire… Il faut les aider à se sécuriser et le rôle de l’état est de les aider il me semble, pas de les punir… Ce sont tous les laboratoires qu’il faut aider et pas seulement ceux qui se déclareraient victimes. Par contre il faut être sans pitié pour ceux qui piratent quand on arrive à les choper, surtout dans ce cas.

2 J'aime

Oui par exemple une boite de sécurité IT comme solarwind se fait pincer pour avoir un mot de passe genre solarwind123 la gravité n’est pas du tout la même qu’un laboratoire qui subit une vulnérabilité zero-day.

Même si bien sûr être responsable de données engage à des responsabilités.

2 J'aime

ces données peuvent très bien servir pour les banques, assurances, mutuelles, etc… elles peuvent en faire une analyse sur les prochaines années.

Rien est inviolable nous sommes d’accord.
Mais payer les prestataires de service au moins chère donne ce genre de résultat.
Les SSII/ESN sont responsable de cela. Je ne pense pas que les laboratoires tombés dans ce problème ont développés leur propre système par eux-même.
Travaillant dans une SSII avec des projets qui peuvent manipuler les données personnelles (et parfois médical), je peux dire que j’ai accès aux données sensible sans contrôle (je n’ai même pas signé de papier pour la confidentialité), je pourrais donné le numéro de certaines personnalité, leur adresses, même certains de leur problème de santé. Bien sûr tout cela n’est pas tracé on ne peux que vaguement savoir qui a eu accès à ces données.
Donc bon la rhétorique c’est « rien est inviolable » est certes vrai, mais il faut mettre les moyens pour que le vol soit le plus compliqué possible.

Je te trouve bien souple, la sécurité informatique est primordiale et ce qui pouvait passer comme un manque de connaissance/d’expérence il y a 30 ans, est, de nos jours, une prérogative : ne pas badiner avec les moyens accordés au service IT et à la sécurisation des données personnelles.

Quand un client verra son assurance augmenter fortement à cause d’une fuite de données et de tout ce qui s’en suit, ça lui fera une belle jambe de savoir que le système informatique du labo était au top et que ce sont les pirates qui ont été les plus balèzes !

C’est pas faux non plus c’est sure… Bon bin on fait une bonne équipe, toi le méchant et moi le gentil lol. Bonne journée :wink:

Je suis bien d’accord je ne dédouane pas.
Je dis juste que rien n’est inviolable et qu’il y a un aspect contextuel à prendre en compte.

Tu signerais un papier ne changerait rien au problème.
Un humain papier ou pas si il veut sortir/utiliser des données…

(je travaille aussi dans l’hébergement de données et notamment médicales)

Ma première réaction est pourquoi la CNIL ne donne-t-elle pas les noms de ces laboratoires assez peu scrupuleux, cupides et mal protégés ???

Chaque personne concernée saura s’il y a des probabilités pour que ses données personnelles soient dans la nature…

1 J'aime

Elle l’ignore sûrement encore :slight_smile:

Je boss dans l’informatique médical et on nous oblige avec les RGPD à séparer les données des patients dans des basse différente pour les info telle que N° de Sécu , Nom , et données perso ect… pour qu’elle ne soit pas ensemble et en plus d’anonymiser ses basse 3 lettres pour le nom et 3 pour le prénom.
Alors que fait la police ? Nous on se tue à être aux normes et les autres y s’en tape !!
J’espère qu’ils vont s’en prendre plein la tête ! c’est vraiment pas normal !

1 J'aime

le problème ne vient ni des labos, ni des ESN mais de l’éditeur (leader européen en plus ca promet pour d’autres cas similaires à venir …) proposant ces solutions aux laboratoire : La méga-fuite de données de santé émanerait d'un logiciel racheté par... Dedalus

Et voila comment ils traitent leurs employés se souciant de la sécurité et de la confidentialité des données des patients :rage:

En espérant que la CNIL leur mette leur nez dans leur m*** et que des labos, et autres entreprises de santé soient d’avantage sensibilité à la sécurité informatique et les sanctionnent en allant voir ailleurs (en espérant que la concurrence soit plus sérieuse…)

3 J'aime

Merci @chasis_fan pour ces précisions. Donc on en revient à ce que je disais, ce n’est pas la faute des laboratoires, ils payent pour une solution, ils n’ont pas à charge de la vérifier il me semble…

→ « laboconnect[…]&docId=XXXXXX. Problème : en remplaçant XXXXXX par à peu près n’importe quel nombre, accès à des comptes comportants des données médicales sensibles ! »

Entre autres…