Le NHS \u00ab\u00a0examine\u00a0\u00bb les all\u00e9gations selon lesquelles des donn\u00e9es de patients auraient \u00e9t\u00e9 laiss\u00e9es vuln\u00e9rables au piratage en raison d’une faille logicielle chez une entreprise de services m\u00e9dicaux priv\u00e9s.<\/p>\n
Le d\u00e9faut a \u00e9t\u00e9 d\u00e9couvert en novembre dernier chez Medefer, qui traite 1 500 r\u00e9f\u00e9rences de patients du NHS par mois.<\/p>\n
L’ing\u00e9nieur logiciel qui a d\u00e9couvert la faille pense que le probl\u00e8me existait depuis au moins six ans.<\/p>\n
Medefer affirme qu’il n’y a aucune preuve que la faille ait exist\u00e9 aussi longtemps et souligne que les donn\u00e9es des patients n’ont pas \u00e9t\u00e9 compromises.<\/p>\n
Le d\u00e9faut a \u00e9t\u00e9 corrig\u00e9 quelques jours apr\u00e8s avoir \u00e9t\u00e9 d\u00e9couvert.<\/p>\n
\u00c0 la fin du mois de f\u00e9vrier, l’entreprise a mandat\u00e9 une agence de s\u00e9curit\u00e9 externe pour effectuer un examen de ses syst\u00e8mes de gestion des donn\u00e9es.<\/p>\n
Un porte-parole du NHS a d\u00e9clar\u00e9 : \u00ab Nous examinons les pr\u00e9occupations soulev\u00e9es concernant Medefer et prendrons d’autres mesures si n\u00e9cessaire. \u00bb<\/p>\n
Le syst\u00e8me de Medefer permet aux patients de prendre des rendez-vous virtuels avec des m\u00e9decins et donne \u00e0 ces cliniciens acc\u00e8s aux donn\u00e9es appropri\u00e9es des patients.<\/p>\n
Cependant, le bug logiciel, d\u00e9couvert en novembre, a rendu le syst\u00e8me interne de dossiers patients de Medefer vuln\u00e9rable aux pirates informatiques, a d\u00e9clar\u00e9 l’ing\u00e9nieur.<\/p>\n
L’ing\u00e9nieur logiciel, qui souhaite rester anonyme, a \u00e9t\u00e9 choqu\u00e9 par ce qu’il a d\u00e9couvert.<\/p>\n
\u00ab\u00a0Quand je l’ai trouv\u00e9, j’ai juste pens\u00e9 ‘non, ce n’est pas possible’.\u00a0\u00bb<\/p>\n
Le probl\u00e8me provenait de morceaux de logiciel appel\u00e9s API (interfaces de programmation d’applications), qui permettent \u00e0 diff\u00e9rents syst\u00e8mes informatiques de communiquer entre eux.<\/p>\n
L’ing\u00e9nieur affirme que chez Medefer, ces API n’\u00e9taient pas correctement s\u00e9curis\u00e9es et auraient potentiellement pu \u00eatre accessibles par des personnes ext\u00e9rieures, qui auraient \u00e9t\u00e9 en mesure de voir les informations des patients.<\/p>\n
Il a dit qu’il \u00e9tait peu probable que des informations sur les patients aient \u00e9t\u00e9 prises chez Medefer, mais que sans une enqu\u00eate compl\u00e8te, la soci\u00e9t\u00e9 n’aurait pas pu en \u00eatre certaine.<\/p>\n
\u00ab J’ai travaill\u00e9 dans des organisations o\u00f9, si quelque chose comme \u00e7a se produisait, tout le syst\u00e8me serait imm\u00e9diatement mis hors service \u00bb, a-t-il dit.<\/p>\n
En d\u00e9couvrant la faille, l’ing\u00e9nieur a dit \u00e0 l’entreprise qu’un expert externe en cybers\u00e9curit\u00e9 devrait \u00eatre engag\u00e9 pour enqu\u00eater sur le probl\u00e8me, ce que, selon lui, l’entreprise n’a pas fait.<\/p>\n
Medefer d\u00e9clare que l’agence de s\u00e9curit\u00e9 externe a confirm\u00e9 qu’elle n’a trouv\u00e9 aucune preuve de violation de donn\u00e9es et que tous les syst\u00e8mes de donn\u00e9es de l’entreprise \u00e9taient actuellement s\u00e9curis\u00e9s.<\/p>\n
Il est indiqu\u00e9 que le processus d’enqu\u00eate et de correction de la faille de l’API a \u00e9t\u00e9 \u00ab\u00a0extr\u00eamement ouvert\u00a0\u00bb.<\/p>\n
Medefer a d\u00e9clar\u00e9 avoir signal\u00e9 le probl\u00e8me \u00e0 l’ICO (Bureau du Commissaire \u00e0 l’information) et \u00e0 la CQC (Commission de la qualit\u00e9 des soins), \u00ab\u00a0dans un souci de transparence\u00a0\u00bb, et que l’ICO avait confirm\u00e9 qu’aucune autre mesure n’\u00e9tait n\u00e9cessaire car il n’y a pas de preuve de violation.<\/p>\n
L’ing\u00e9nieur, qui avait \u00e9t\u00e9 engag\u00e9 en octobre pour tester les d\u00e9fauts du logiciel de l’entreprise, a quitt\u00e9 l’entreprise en janvier.<\/p>\n
Dans un communiqu\u00e9, le Dr Bahman Nedjat-Shokouhi, fondateur et PDG de Medefer, a d\u00e9clar\u00e9 : \u00ab Il n’y a aucune preuve de violation des donn\u00e9es des patients dans nos syst\u00e8mes. \u00bb<\/p>\n
Il a confirm\u00e9 que la faille avait \u00e9t\u00e9 d\u00e9couverte en novembre et qu’un correctif avait \u00e9t\u00e9 d\u00e9velopp\u00e9 en 48 heures.<\/p>\n
\u00ab\u00a0L’agence de s\u00e9curit\u00e9 externe a affirm\u00e9 que l’all\u00e9gation selon laquelle cette faille aurait pu permettre l’acc\u00e8s \u00e0 de grandes quantit\u00e9s de donn\u00e9es de patients est cat\u00e9goriquement fausse.\u00a0\u00bb<\/p>\n
L’agence de s\u00e9curit\u00e9 ach\u00e8vera son examen plus tard cette semaine.<\/p>\n
Le Dr Nedjat-Shokouhi a ajout\u00e9 : \u00ab Nous prenons nos responsabilit\u00e9s envers les patients et le NHS tr\u00e8s au s\u00e9rieux. Nous organisons r\u00e9guli\u00e8rement des audits de s\u00e9curit\u00e9 externes de nos syst\u00e8mes par des agences de s\u00e9curit\u00e9 ind\u00e9pendantes, effectu\u00e9s \u00e0 plusieurs reprises chaque ann\u00e9e. \u00bb<\/p>\n
Les experts en cybers\u00e9curit\u00e9, qui ont examin\u00e9 les informations fournies par l’ing\u00e9nieur logiciel, ont exprim\u00e9 leur inqui\u00e9tude.<\/p>\n
\u00ab Il est possible que Medefer n’ait pas stock\u00e9 les donn\u00e9es provenant du NHS de mani\u00e8re aussi s\u00e9curis\u00e9e qu’on l’esp\u00e9rerait \u00bb, a d\u00e9clar\u00e9 le Professeur Alan Woodward, expert en cybers\u00e9curit\u00e9 \u00e0 l’Universit\u00e9 de Surrey.<\/p>\n
Voici la traduction en fran\u00e7ais :<\/p>\n
\u00ab La base de donn\u00e9es pourrait \u00eatre chiffr\u00e9e et toutes les autres pr\u00e9cautions prises, mais s’il existe un moyen de contourner l’autorisation de l’API, quiconque sait comment faire pourrait potentiellement y acc\u00e9der \u00bb, a-t-il ajout\u00e9.<\/p>\n
Un autre expert a soulign\u00e9 que, puisque Medefer traite des donn\u00e9es m\u00e9dicales hautement sensibles, l’entreprise aurait d\u00fb faire appel \u00e0 des experts en cybers\u00e9curit\u00e9 d\u00e8s que le probl\u00e8me a \u00e9t\u00e9 identifi\u00e9.<\/p>\n
\u00ab M\u00eame si l’entreprise soup\u00e7onnait qu’aucune donn\u00e9e n’avait \u00e9t\u00e9 vol\u00e9e, lorsqu’elle est confront\u00e9e \u00e0 un probl\u00e8me qui aurait pu entra\u00eener une violation de donn\u00e9es, en particulier avec des donn\u00e9es de la nature en question, une enqu\u00eate et une confirmation de la part d’un expert en cybers\u00e9curit\u00e9 d\u00fbment qualifi\u00e9 seraient recommand\u00e9es \u00bb, d\u00e9clare Scott Helme, chercheur en s\u00e9curit\u00e9.<\/p>\n
Medefer a \u00e9t\u00e9 fond\u00e9e en 2013 par le Dr Nedjat-Shokouhi, avec pour objectif d’am\u00e9liorer les soins ambulatoires. Depuis lors, sa technologie a \u00e9t\u00e9 utilis\u00e9e par des trusts du NHS \u00e0 travers le pays.<\/p>\n
Dans une d\u00e9claration, le porte-parole du NHS a indiqu\u00e9 que ces trusts sont responsables de leurs contrats avec le secteur priv\u00e9.<\/p>\n
\u00ab\u00a0Les organisations individuelles du NHS doivent s’assurer qu’elles respectent leurs responsabilit\u00e9s l\u00e9gales et les normes nationales de s\u00e9curit\u00e9 des donn\u00e9es pour prot\u00e9ger les donn\u00e9es des patients lors de la s\u00e9lection de fournisseurs. Nous leur offrons un soutien et une formation \u00e0 l’\u00e9chelle nationale sur la mani\u00e8re de proc\u00e9der.\u00a0\u00bb<\/p>\n","protected":false},"excerpt":{"rendered":"
Le NHS \u00ab\u00a0examine\u00a0\u00bb les all\u00e9gations selon lesquelles des donn\u00e9es de patients auraient \u00e9t\u00e9 laiss\u00e9es vuln\u00e9rables au piratage en raison d’une faille logicielle chez une entreprise de services m\u00e9dicaux priv\u00e9s. Le d\u00e9faut a \u00e9t\u00e9 d\u00e9couvert en novembre dernier chez Medefer, qui traite 1 500 r\u00e9f\u00e9rences de patients du NHS par mois. L’ing\u00e9nieur logiciel qui a d\u00e9couvert […]<\/p>\n","protected":false},"author":0,"featured_media":8357,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":{"0":"post-8356","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-uncategorized"},"_links":{"self":[{"href":"https:\/\/placedesnations.org\/index.php\/wp-json\/wp\/v2\/posts\/8356","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/placedesnations.org\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/placedesnations.org\/index.php\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/placedesnations.org\/index.php\/wp-json\/wp\/v2\/comments?post=8356"}],"version-history":[{"count":0,"href":"https:\/\/placedesnations.org\/index.php\/wp-json\/wp\/v2\/posts\/8356\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/placedesnations.org\/index.php\/wp-json\/wp\/v2\/media\/8357"}],"wp:attachment":[{"href":"https:\/\/placedesnations.org\/index.php\/wp-json\/wp\/v2\/media?parent=8356"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/placedesnations.org\/index.php\/wp-json\/wp\/v2\/categories?post=8356"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/placedesnations.org\/index.php\/wp-json\/wp\/v2\/tags?post=8356"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}