Le NHS « examine » les allégations selon lesquelles des données de patients auraient été laissées vulnérables au piratage en raison d’une faille logicielle chez une entreprise de services médicaux privés.
Le défaut a été découvert en novembre dernier chez Medefer, qui traite 1 500 références de patients du NHS par mois.
L’ingénieur logiciel qui a découvert la faille pense que le problème existait depuis au moins six ans.
Medefer affirme qu’il n’y a aucune preuve que la faille ait existé aussi longtemps et souligne que les données des patients n’ont pas été compromises.
Le défaut a été corrigé quelques jours après avoir été découvert.
À la fin du mois de février, l’entreprise a mandaté une agence de sécurité externe pour effectuer un examen de ses systèmes de gestion des données.
Un porte-parole du NHS a déclaré : « Nous examinons les préoccupations soulevées concernant Medefer et prendrons d’autres mesures si nécessaire. »
Le système de Medefer permet aux patients de prendre des rendez-vous virtuels avec des médecins et donne à ces cliniciens accès aux données appropriées des patients.
Cependant, le bug logiciel, découvert en novembre, a rendu le système interne de dossiers patients de Medefer vulnérable aux pirates informatiques, a déclaré l’ingénieur.
L’ingénieur logiciel, qui souhaite rester anonyme, a été choqué par ce qu’il a découvert.
« Quand je l’ai trouvé, j’ai juste pensé ‘non, ce n’est pas possible’. »
Le problème provenait de morceaux de logiciel appelés API (interfaces de programmation d’applications), qui permettent à différents systèmes informatiques de communiquer entre eux.
L’ingénieur affirme que chez Medefer, ces API n’étaient pas correctement sécurisées et auraient potentiellement pu être accessibles par des personnes extérieures, qui auraient été en mesure de voir les informations des patients.
Il a dit qu’il était peu probable que des informations sur les patients aient été prises chez Medefer, mais que sans une enquête complète, la société n’aurait pas pu en être certaine.
« J’ai travaillé dans des organisations où, si quelque chose comme ça se produisait, tout le système serait immédiatement mis hors service », a-t-il dit.
En découvrant la faille, l’ingénieur a dit à l’entreprise qu’un expert externe en cybersécurité devrait être engagé pour enquêter sur le problème, ce que, selon lui, l’entreprise n’a pas fait.
Medefer déclare que l’agence de sécurité externe a confirmé qu’elle n’a trouvé aucune preuve de violation de données et que tous les systèmes de données de l’entreprise étaient actuellement sécurisés.
Il est indiqué que le processus d’enquête et de correction de la faille de l’API a été « extrêmement ouvert ».
Medefer a déclaré avoir signalé le problème à l’ICO (Bureau du Commissaire à l’information) et à la CQC (Commission de la qualité des soins), « dans un souci de transparence », et que l’ICO avait confirmé qu’aucune autre mesure n’était nécessaire car il n’y a pas de preuve de violation.
L’ingénieur, qui avait été engagé en octobre pour tester les défauts du logiciel de l’entreprise, a quitté l’entreprise en janvier.
Dans un communiqué, le Dr Bahman Nedjat-Shokouhi, fondateur et PDG de Medefer, a déclaré : « Il n’y a aucune preuve de violation des données des patients dans nos systèmes. »
Il a confirmé que la faille avait été découverte en novembre et qu’un correctif avait été développé en 48 heures.
« L’agence de sécurité externe a affirmé que l’allégation selon laquelle cette faille aurait pu permettre l’accès à de grandes quantités de données de patients est catégoriquement fausse. »
L’agence de sécurité achèvera son examen plus tard cette semaine.
Le Dr Nedjat-Shokouhi a ajouté : « Nous prenons nos responsabilités envers les patients et le NHS très au sérieux. Nous organisons régulièrement des audits de sécurité externes de nos systèmes par des agences de sécurité indépendantes, effectués à plusieurs reprises chaque année. »
Les experts en cybersécurité, qui ont examiné les informations fournies par l’ingénieur logiciel, ont exprimé leur inquiétude.
« Il est possible que Medefer n’ait pas stocké les données provenant du NHS de manière aussi sécurisée qu’on l’espérerait », a déclaré le Professeur Alan Woodward, expert en cybersécurité à l’Université de Surrey.
Voici la traduction en français :
« La base de données pourrait être chiffrée et toutes les autres précautions prises, mais s’il existe un moyen de contourner l’autorisation de l’API, quiconque sait comment faire pourrait potentiellement y accéder », a-t-il ajouté.
Un autre expert a souligné que, puisque Medefer traite des données médicales hautement sensibles, l’entreprise aurait dû faire appel à des experts en cybersécurité dès que le problème a été identifié.
« Même si l’entreprise soupçonnait qu’aucune donnée n’avait été volée, lorsqu’elle est confrontée à un problème qui aurait pu entraîner une violation de données, en particulier avec des données de la nature en question, une enquête et une confirmation de la part d’un expert en cybersécurité dûment qualifié seraient recommandées », déclare Scott Helme, chercheur en sécurité.
Medefer a été fondée en 2013 par le Dr Nedjat-Shokouhi, avec pour objectif d’améliorer les soins ambulatoires. Depuis lors, sa technologie a été utilisée par des trusts du NHS à travers le pays.
Dans une déclaration, le porte-parole du NHS a indiqué que ces trusts sont responsables de leurs contrats avec le secteur privé.
« Les organisations individuelles du NHS doivent s’assurer qu’elles respectent leurs responsabilités légales et les normes nationales de sécurité des données pour protéger les données des patients lors de la sélection de fournisseurs. Nous leur offrons un soutien et une formation à l’échelle nationale sur la manière de procéder. »
