Publicité en cours de chargement...

Publicité en cours de chargement...

Début d’année difficile pour les SI de santé à Singapour : trois incidents majeurs en trois mois

19 mars 2019 - 09:51,
Tribune - Charles Blanc-Rolin
Alors que Singapour avait déjà vécu des moments difficiles l’été dernier avec un énorme piratage qui avait permis d’exfiltrer les données de santé d’un million et demi de personnes, dont le premier ministre [1], le Straits Timesa révélé vendredi 15 mars le dernier incident d’une série noire impactant les SI de santé de Singapour.

health_key

Les données personnelles de plus de 800 000 donneurs de sang sont restées en accès libre sur Internet pendant deux mois [2]. En effet, un chercheur en sécurité aurait réussi à accéder à la base de données contenant, les nom, prénom, NIR, groupe sanguin, nombre de dons, dates des trois derniers dons, sexe, taille et poids de toutes les personnes ayant effectué un don de sang entre 1986 et janvier 2019. L’article ne révèle pas le SGBDR utilisé, mais précise que les données n’étaient pas accessibles depuis un navigateur Web, et que le chercheur ayant exploité une vulnérabilité a pu accéder à la base à l’aide du client du SGBDR en question.
Si les moteurs de recherche classiques n’ont pas pu référencer ces données, des moteurs de recherche d’appareils connectés à Internet tels que Shodan ont très probablement dû orienter le chercheur vers cette base vulnérable, car Shodan, en plus de référencer l’ensemble des services et des applications (numéro de version compris) qu’il détecte pour une adresse IP publique donnée, révèle également les vulnérabilités qu’il est possible d’exploiter sur les services découverts.
Que les donneurs soient rassurés, le Dr Choong, directrice générale de la Health Sciences Authority (HSA), homologue de notre EFS en France, a indiqué qu’une seule connexion « externe » (celle du chercheur ayant donné l’alerte) avait été détectée sur cette base de données hébergée chez le prestataire Secur Solutions Group. Un hébergeur chanceux ou hypocrite, à vous de choisir, dont le nom n’est pas facile à assumer après un incident de cette envergure. Comme aurait pu dire un certain Michel Colucci : « C’était un mec, il nous vendait de la sécurité, il avait pas un échantillon sur lui. »

L’article nous renvoie à deux autres documents relatant deux incidents récents en lien avec les SI de santé. Le 16 février, le ministre de la Santé singapourien annonçait qu’un « bug » informatique dans le système d’information de la Community Health Assist Scheme (CHAS), « équivalente » de notre Cnam, aurait provoqué des erreurs de calcul dans les remboursements d’environ 7 700 patients [3]. Environ 1 300 d’entre eux n’auraient pas assez perçu, et la CHAS sera alors obligée de débourser 400 000 dollars pour régulariser la situation, alors que les 6 400 personnes ayant trop perçu ne seront pas tenues de rembourser les 2 millions de dollars de subventions allouées par erreur. Cet incident ne creusera pas le « trou de la sécu » car, contractuellement, la société NCS qui administre le SI de la CHAS est tenue de rembourser l’intégralité du préjudice.
La déclaration du prestataire précise qu’il s’agit d’une erreur humaine de mise en production d’une mauvaise version du logiciel en cours de migration et nous rappelle que ce fameux « bug informatique » est toujours d’origine humaine.

Le dernier incident auquel l’article fait référence concerne la publication sur le Web des données de santé de 14 200 patients atteints du virus du sida [4]. Le 28 janvier, le ministère de la Santé révélait que cette fuite de données avait été orchestrée par un ressortissant américain, Mikhy Farrera-Brochez, lui-même séropositif, qui s’était vu condamner pour avoir présenté un échantillon de sang de son petit ami, médecin singapourien, afin de cacher à son employeur qu’il était porteur du VIH.

Si vous songez à une reconversion professionnelle, je vous déconseille vivement la fonction de ministre de la Santé à Singapour.


[1] 

[2] 

[3] 

[4] 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Inauguration du cross care data lab ©

Inauguration du cross care data lab ©

04 août 2025 - 14:15,

Tribune

- Jacques HUBERT & Selim HAOUCHINE, GHT Moselle-Est

Porté par les Hôpitaux de Sarreguemines et le GHT de Moselle-Est, le projet Cross Care Data Lab est une pépinière d’entreprises nouvelle génération, véritable écosystème, entièrement dédiée à l’innovation numérique, à la cybersécurité et à l’intelligence artificielle appliqué à la santé.

Illustration Le consortium AGORiA Santé en partenariat avec BIOGROUP obtient la 1ère autorisation de la CNIL permettant d’associer des données de biologie et du SNDS (système national des données de santé)

Le consortium AGORiA Santé en partenariat avec BIOGROUP obtient la 1ère autorisation de la CNIL permettant d’associer des données de biologie et du SNDS (système national des données de santé)

22 juil. 2025 - 10:23,

Communiqué

- Biogroup & Agoria Santé

le 21 juillet 2025 – Le consortium AGORiA Santé est autorisé par la CNIL (Commission nationale de l'informatique et des libertés) à enrichir sa plateforme, entrepôt de données de santé système fils SNDS, avec des données d’analyses de biologie médicales issues du réseau BIOGROUP. Créé en 2021, le co...

Illustration Un code de bonnes pratiques pour les modèles d'IA à usage général

Un code de bonnes pratiques pour les modèles d'IA à usage général

15 juil. 2025 - 16:57,

Actualité

-
Marguerite Brac de La Perrière

Entré en vigueur le 1er août 2024, le Règlement sur l'Intelligence Artificielle (AI Act) vise à créer un cadre juridique uniforme pour le développement, la mise sur le marché, la mise en service et l’utilisation de systèmes d'IA dans le respect des valeurs de l’Union. Parmi les systèmes d'IA encadré...

Illustration Le numérique médico-social : mutation systémique et levier d’humanité

Le numérique médico-social : mutation systémique et levier d’humanité

08 juil. 2025 - 01:07,

Actualité

- DSIH

Longtemps resté en périphérie des politiques publiques du numérique en santé, le secteur médico-social entre aujourd’hui dans une phase de transformation profonde. C’est cette bascule, inédite et structurante, que décrivent Olivier Babinet et Manon Lorenzo dans leur ouvrage Le virage du numérique en...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.