Publicité en cours de chargement...
Début d’année difficile pour les SI de santé à Singapour : trois incidents majeurs en trois mois
Les données personnelles de plus de 800 000 donneurs de sang sont restées en accès libre sur Internet pendant deux mois [2]. En effet, un chercheur en sécurité aurait réussi à accéder à la base de données contenant, les nom, prénom, NIR, groupe sanguin, nombre de dons, dates des trois derniers dons, sexe, taille et poids de toutes les personnes ayant effectué un don de sang entre 1986 et janvier 2019. L’article ne révèle pas le SGBDR utilisé, mais précise que les données n’étaient pas accessibles depuis un navigateur Web, et que le chercheur ayant exploité une vulnérabilité a pu accéder à la base à l’aide du client du SGBDR en question.
Si les moteurs de recherche classiques n’ont pas pu référencer ces données, des moteurs de recherche d’appareils connectés à Internet tels que Shodan ont très probablement dû orienter le chercheur vers cette base vulnérable, car Shodan, en plus de référencer l’ensemble des services et des applications (numéro de version compris) qu’il détecte pour une adresse IP publique donnée, révèle également les vulnérabilités qu’il est possible d’exploiter sur les services découverts.
Que les donneurs soient rassurés, le Dr Choong, directrice générale de la Health Sciences Authority (HSA), homologue de notre EFS en France, a indiqué qu’une seule connexion « externe » (celle du chercheur ayant donné l’alerte) avait été détectée sur cette base de données hébergée chez le prestataire Secur Solutions Group. Un hébergeur chanceux ou hypocrite, à vous de choisir, dont le nom n’est pas facile à assumer après un incident de cette envergure. Comme aurait pu dire un certain Michel Colucci : « C’était un mec, il nous vendait de la sécurité, il avait pas un échantillon sur lui. »
L’article nous renvoie à deux autres documents relatant deux incidents récents en lien avec les SI de santé. Le 16 février, le ministre de la Santé singapourien annonçait qu’un « bug » informatique dans le système d’information de la Community Health Assist Scheme (CHAS), « équivalente » de notre Cnam, aurait provoqué des erreurs de calcul dans les remboursements d’environ 7 700 patients [3]. Environ 1 300 d’entre eux n’auraient pas assez perçu, et la CHAS sera alors obligée de débourser 400 000 dollars pour régulariser la situation, alors que les 6 400 personnes ayant trop perçu ne seront pas tenues de rembourser les 2 millions de dollars de subventions allouées par erreur. Cet incident ne creusera pas le « trou de la sécu » car, contractuellement, la société NCS qui administre le SI de la CHAS est tenue de rembourser l’intégralité du préjudice.
La déclaration du prestataire précise qu’il s’agit d’une erreur humaine de mise en production d’une mauvaise version du logiciel en cours de migration et nous rappelle que ce fameux « bug informatique » est toujours d’origine humaine.
Le dernier incident auquel l’article fait référence concerne la publication sur le Web des données de santé de 14 200 patients atteints du virus du sida [4]. Le 28 janvier, le ministère de la Santé révélait que cette fuite de données avait été orchestrée par un ressortissant américain, Mikhy Farrera-Brochez, lui-même séropositif, qui s’était vu condamner pour avoir présenté un échantillon de sang de son petit ami, médecin singapourien, afin de cacher à son employeur qu’il était porteur du VIH.
Si vous songez à une reconversion professionnelle, je vous déconseille vivement la fonction de ministre de la Santé à Singapour.
[1]
[2]
[3]
[4]
Avez-vous apprécié ce contenu ?
A lire également.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique
05 mai 2025 - 23:11,
Tribune
-Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs
02 mai 2025 - 16:13,
Tribune
- Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic AssociésPar décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée
24 avril 2025 - 15:14,
Actualité
- DSIHLa Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...