Après Bouygues, Saint Gobain, Renault, Safran, c’est au tour de Doctolib d’être la cible d’acte malveillant d’ordre informatique. En effet, la plateforme en ligne qui a révolutionné la prise de rendez-vous médicaux a subi une cyber-attaque. Retour en détail sur ce fait divers.
Le 23 juillet dernier, le célèbre service de téléconsultation a annoncé avoir été l’objet d’un acte de malveillance. En effet, Doctolib s’est fait voler 6128 dossiers de patients pour être précis. Tout est rentré dans l’ordre, la faille de sécurité à l’origine de ce vol qui a eu lieu 21 juillet dernier soit deux jours plus tôt, est désormais colmatée. Bien que le nombre de patients concernés par cette fuite soit faible, les informations, quant à eux, sont d’ordre très privées à savoir : noms, prénoms, sexe, numéros de téléphone et adresses électroniques des patients ainsi que le nom et la spécialité de leur professionnel de santé. Interrogée le 23 juillet à ce sujet, la société Franco-Allemande a répondu que « les données de santé des patients utilisateurs de Doctolib sont bien anonymisées et chiffrées à plusieurs niveaux ».
L’auteur de l’acte malveillant est parvenu à accéder à une »vue patient où l’information est déchiffrée ». Doctolib n’a cependant pas explicité ce qu’était une « vue patient » ni par quel moyen, les pirates informatiques sont parvenus à ces informations. Pour rassurer ses utilisateurs, Doctolib a expliqué que : « cet accès illégal ne concerne pas les rendez-vous pris sur www.doctolib.fr ou sur le logiciel de gestion de cabinet de Doctolib, mais des rendez-vous pris sur certains logiciels tiers connectés à Doctolib« . La vulnérabilité du système informatique ne concerne absolument pas le service à proprement parlé mais bel et bien son interface de programmation (API). Il s’agit d’une fonctionnalité qui va permettre à des logiciels spécialisés (pour la prise de rendez-vous ou la gestion d’agendas) de se connecter à la plateforme de Doctolib.
Saisie de la CNIL et plainte déposée pour vol de données
Après avoir résolu ce problème, l’entreprise en a informé les autorités spécialisées en matière de données personnelles à savoir la Commission nationale de l’informatique et des libertés (CNIL). Il s’agit d’une institution qui à le rôle de régulateur des données personnelles. La CNIL accompagne les professionnels dans leur mise en conformité et assiste les particuliers dans la maîtrise de leurs données personnelles et dans l’exercice de leurs droits. Doctolib a également porté plainte et a contacté les cabinets ainsi que tous les établissements médicaux concernés » et échangé régulièrement avec eux dans le cadre de nos procédures de sécurité ».
« Nous n’avons pas subi de fuite de données, mais avons été victimes d’un acte malveillant isolé qui a permis à une personne de lire temporairement des informations administratives limitées sur un petit nombre de rendez-vous », a déclaré le leader de la prise de rendez-vous médicaux en ligne qui se veut rassurant. Les informations de ces 6 128 rendez-vous représentent « 0,02% des rendez-vous pris sur Doctolib en un mois », a-t-il déclaré. Doctolib ajoute que ce sont les établissements de santé concernés qui se chargeront de contacter les patients visés par cet incident de sécurité.
90% des entreprises françaises ont été victimes de graves piratages informatiques en 1 an
Qu’en est-il de la cybersécurité en France ? Les entreprises françaises seraient-elles trop vulnérables ? Il faut croire que oui. D’aprés une récente étude menée par Forrester, la société américaine spécialisée dans la recherche et le conseil, pour le compte de Tenable, les cyber attaques sont en augmentation et elles impacteraient fortement l’activité des entreprises. Réalisée sur un panel de 800 RSSI dont 104 Français, cette enquête nous apprend que 90% des entreprises françaises ont subi au moins une cyber-attaque avec des répercussions directes sur l’activité au cours des 12 derniers mois.
Le rapport de l’enquête nous révèle que ces attaques ont affecté directement l’activité de l’entreprise en entraînant des dommages colossaux : une baisse de productivité (pour 38 % des RSSI français), des pertes de données clients (33 %) et un déficit de données employés (32 %). Il faut avouer que la révolution du digital impacte de manière considérable la gestion des données. Pour essayer de faire barrage à ces attaques de plus en plus élaborées, il est important que les entreprises françaises mettent en œuvre des solutions basées sur l’apprentissage machine et l’IA. Aussi, il devient plus que vital de sensibiliser et former le personnel à la cybersécurité. Toutes ces mesures permettraient d’identifier les attaques et d’en limiter les dégâts.