Publicité en cours de chargement...
Début d’année difficile pour les SI de santé à Singapour : trois incidents majeurs en trois mois
Les données personnelles de plus de 800 000 donneurs de sang sont restées en accès libre sur Internet pendant deux mois [2]. En effet, un chercheur en sécurité aurait réussi à accéder à la base de données contenant, les nom, prénom, NIR, groupe sanguin, nombre de dons, dates des trois derniers dons, sexe, taille et poids de toutes les personnes ayant effectué un don de sang entre 1986 et janvier 2019. L’article ne révèle pas le SGBDR utilisé, mais précise que les données n’étaient pas accessibles depuis un navigateur Web, et que le chercheur ayant exploité une vulnérabilité a pu accéder à la base à l’aide du client du SGBDR en question.
Si les moteurs de recherche classiques n’ont pas pu référencer ces données, des moteurs de recherche d’appareils connectés à Internet tels que Shodan ont très probablement dû orienter le chercheur vers cette base vulnérable, car Shodan, en plus de référencer l’ensemble des services et des applications (numéro de version compris) qu’il détecte pour une adresse IP publique donnée, révèle également les vulnérabilités qu’il est possible d’exploiter sur les services découverts.
Que les donneurs soient rassurés, le Dr Choong, directrice générale de la Health Sciences Authority (HSA), homologue de notre EFS en France, a indiqué qu’une seule connexion « externe » (celle du chercheur ayant donné l’alerte) avait été détectée sur cette base de données hébergée chez le prestataire Secur Solutions Group. Un hébergeur chanceux ou hypocrite, à vous de choisir, dont le nom n’est pas facile à assumer après un incident de cette envergure. Comme aurait pu dire un certain Michel Colucci : « C’était un mec, il nous vendait de la sécurité, il avait pas un échantillon sur lui. »
L’article nous renvoie à deux autres documents relatant deux incidents récents en lien avec les SI de santé. Le 16 février, le ministre de la Santé singapourien annonçait qu’un « bug » informatique dans le système d’information de la Community Health Assist Scheme (CHAS), « équivalente » de notre Cnam, aurait provoqué des erreurs de calcul dans les remboursements d’environ 7 700 patients [3]. Environ 1 300 d’entre eux n’auraient pas assez perçu, et la CHAS sera alors obligée de débourser 400 000 dollars pour régulariser la situation, alors que les 6 400 personnes ayant trop perçu ne seront pas tenues de rembourser les 2 millions de dollars de subventions allouées par erreur. Cet incident ne creusera pas le « trou de la sécu » car, contractuellement, la société NCS qui administre le SI de la CHAS est tenue de rembourser l’intégralité du préjudice.
La déclaration du prestataire précise qu’il s’agit d’une erreur humaine de mise en production d’une mauvaise version du logiciel en cours de migration et nous rappelle que ce fameux « bug informatique » est toujours d’origine humaine.
Le dernier incident auquel l’article fait référence concerne la publication sur le Web des données de santé de 14 200 patients atteints du virus du sida [4]. Le 28 janvier, le ministère de la Santé révélait que cette fuite de données avait été orchestrée par un ressortissant américain, Mikhy Farrera-Brochez, lui-même séropositif, qui s’était vu condamner pour avoir présenté un échantillon de sang de son petit ami, médecin singapourien, afin de cacher à son employeur qu’il était porteur du VIH.
Si vous songez à une reconversion professionnelle, je vous déconseille vivement la fonction de ministre de la Santé à Singapour.
[1]
[2]
[3]
[4]
Avez-vous apprécié ce contenu ?
A lire également.

Vu à SantExpo 2025 : Retour d’expérience du GHT de l’Aube sur la mise en œuvre d’un PACS mutualisé optimisant les ressources et l’accès aux soins avec Dedalus
28 mai 2025 - 10:47,
Actualité
- Pauline Nicolas, DSIHRapprocher les patients des soins tout en prenant en compte les tensions RH et la nécessaire mutualisation des moyens et ressources sur un territoire élargi : telle est l’équation qu’a résolue le GHT de l’Aube par la mise en œuvre d’un PACS mutualisé. Récit, sous forme de dialogue au sein d’une nouv...

Vu à SantExpo 2025 : le CHU d’Amiens obtient l’accord officiel des archives départementales pour son Système d’Archivage Electronique avec la solution HYDMedia de Dedalus
26 mai 2025 - 15:41,
Actualité
- Pauline Nicolas, DSIHLors d’une session au sein de l’auditorium Dedalus, Jacques Delamarre, Responsable Parcours Patient au CHU d’Amiens a témoigné de la genèse qui a conduit à l’adoption de la solution SAE HYDMedia de Dedalus dans son établissement et des principaux apports de cette solution. Un SAE doit intégrer un l...

L’Académie de l’IA en santé de la FEHAP
26 mai 2025 - 11:27,
Actualité
- Damien Dubois, DSIHLe 21 mai 2025, lors de SantExpo, la FEHAP a annoncé le déploiement opérationnel de son plan d’actions pour son Académie de l’IA en santé.

CHU de Montpellier : « Pionnier de l’IA générative, notre hôpital traduit cette innovation dans toutes ses missions »
23 mai 2025 - 11:50,
Actualité
- Mathilde Debry, DSIHSantExpo 2025 – Paris. Le 22 mai, la directrice générale du CHU de Montpellier Anne Ferrer a détaillé dans une interview pourquoi et comment l’IA générative gagne progressivement toutes les strates de son établissement.