Les leçons d’une fuite

La fuite, révélée le 23 février par Libération, est d’une ampleur inédite en France, mais n’a pas surpris les spécialistes de la sécurité informatique. « La question n’est jamais ‘une attaque cyber est-elle possible ?’ mais ‘quand aura-t-elle lieu ?’ », résume le Dr Mahdi Aqallal, administrateur de la Société française d’informatique de laboratoire (SFIL). « L’usage du numérique s’est accéléré dans les laboratoires ces cinq dernières années, et encore plus du fait de la crise sanitaire, cette fuite doit donc être un électrochoc », alerte-t-il. Pour gérer ce risque, il rappelle la nécessité de mettre en œuvre les principales exigences du règlement général sur la protection des données (RGPD) – ce qui devrait être fait depuis son entrée en application le 25 mai 2018. Cela se traduit par la mise en place dans les laboratoires d’une gouvernance de la donnée de santé disposant de suffisamment de ressources et de compétences pour mettre en place les fondements de la sécurité informatique. Notamment le principe de minimisation, qui prévoit que les données collectées et stockées soient limitées au strict nécessaire. A défaut d’éviter les attaques, il en limite les dégâts. Dans le cas de cette fuite massive, il n’y avait ainsi aucune raison pour que des données médicales (traitements médicamenteux, pathologies…) soient présentes dans des fichiers à but administratif.

Morgan Bourven