Chacun.e a pu en prendre connaissance dans les médias ces derniers jours : les pirates d’un cybergang qui a visé en août dernier le Centre Hospitalier Sud Francilien de Corbeil-Essonnes ont finalement mis leur menace à exécution. Après l’échec de leur demande de rançon, une archive contenant plus de 11 Go de données sensibles incluant des numéros de sécurité sociale et des comptes-rendus d’examens de patient.es a été publiée sur le darknet. Depuis quelque temps, les cyberattaques sur les villes se multiplient : Angers, Guingamp, Saint-Cloud, Chalon-sur-Saône, Annecy, Saumur… et Caen le 26 septembre.
Parmi les informations concernées par le hack sur le Centre Hospitalier, on trouve aussi bien les informations des usager.es : figurent parmi elles leur numéro de Sécurité sociale, leurs données santé telles que des comptes rendus d’examen, mais aussi celles du personnel, ainsi que des partenaires de l’établissement. Des dossiers externes ont été aussi compromis. Intitulé Part1, le nom de cette archive suggère que d’autres pourraient suivre.
Ce cybergang, comme d’autre hackers expérimentés, prennent en général le temps de s’introduire dans un système informatique et d’exfiltrer discrètement des données pour tenter ensuite d’extorquer de l’argent à leurs victimes, voire de revendre l’accès obtenu…
Suite à ces grandes quantités de données sensibles publiées, on sait que de nombreuses opérations malveillantes peuvent et vont suivre, pouvant passer tout simplement par de l’usurpation d’identité avec le phishing ciblé (hameçonnage par SMS).
La Ville de Paris fournit à ce titre de nombreuses recommandations pertinentes comme une grande vigilance face aux emails et SMS d’apparence authentique, semblant venir d’une entreprise légitime, demandant aux destinataires de dévoiler de l’information personnelle qui sert par la suite à commettre une fraude.
Une question qui peut se poser et que se pose l’UNSA : qu’en est-il de la sécurité des dossiers personnalisés des patients (DPI), des dossiers relatifs à la gestion des ressources humaines ?
Le sujet est lourd et interroge largement puisque le problème des données piratées peut concerner toutes les institutions, donc la Ville de Paris, la DSOL, le CASVP.
Quelle protection des données des dossiers administratifs des agent.es ?
Quelle protection des données des usager.es alors que le dossier social numérique concerne aujourd’hui, ou dans un avenir très proche si l’on en croit les sous-directions concernées, les personnes prises en charge au titre de la protection de l’Enfance, les personnes accompagnées par les EPS ?
Responsabilité, déontologie, comment ça se passe ? Compte tenu des technologies électroniques de plus en plus sophistiquées qui circulent sur le net, on estime que les Jeux olympiques et paralympiques d’été organisés à Paris en 2024, comme tout grand événement populaire et planétaire, vont provoquer un «accroissement de la surface de vulnérabilité». Rappelons que 4 milliards de cyberattaques ont été perpétrées pendant ceux de Tokyo en 2021. La question reste ouverte : quelle cybersécurité pour Paris 2024 ? Mais aussi pour notre quotidien de travail, quelles actions sont mises en place pour faire face aux cyberattaques et s’en protéger ?
UNSA CASVP 