Publicité en cours de chargement...
Début d’année difficile pour les SI de santé à Singapour : trois incidents majeurs en trois mois
Les données personnelles de plus de 800 000 donneurs de sang sont restées en accès libre sur Internet pendant deux mois [2]. En effet, un chercheur en sécurité aurait réussi à accéder à la base de données contenant, les nom, prénom, NIR, groupe sanguin, nombre de dons, dates des trois derniers dons, sexe, taille et poids de toutes les personnes ayant effectué un don de sang entre 1986 et janvier 2019. L’article ne révèle pas le SGBDR utilisé, mais précise que les données n’étaient pas accessibles depuis un navigateur Web, et que le chercheur ayant exploité une vulnérabilité a pu accéder à la base à l’aide du client du SGBDR en question.
Si les moteurs de recherche classiques n’ont pas pu référencer ces données, des moteurs de recherche d’appareils connectés à Internet tels que Shodan ont très probablement dû orienter le chercheur vers cette base vulnérable, car Shodan, en plus de référencer l’ensemble des services et des applications (numéro de version compris) qu’il détecte pour une adresse IP publique donnée, révèle également les vulnérabilités qu’il est possible d’exploiter sur les services découverts.
Que les donneurs soient rassurés, le Dr Choong, directrice générale de la Health Sciences Authority (HSA), homologue de notre EFS en France, a indiqué qu’une seule connexion « externe » (celle du chercheur ayant donné l’alerte) avait été détectée sur cette base de données hébergée chez le prestataire Secur Solutions Group. Un hébergeur chanceux ou hypocrite, à vous de choisir, dont le nom n’est pas facile à assumer après un incident de cette envergure. Comme aurait pu dire un certain Michel Colucci : « C’était un mec, il nous vendait de la sécurité, il avait pas un échantillon sur lui. »
L’article nous renvoie à deux autres documents relatant deux incidents récents en lien avec les SI de santé. Le 16 février, le ministre de la Santé singapourien annonçait qu’un « bug » informatique dans le système d’information de la Community Health Assist Scheme (CHAS), « équivalente » de notre Cnam, aurait provoqué des erreurs de calcul dans les remboursements d’environ 7 700 patients [3]. Environ 1 300 d’entre eux n’auraient pas assez perçu, et la CHAS sera alors obligée de débourser 400 000 dollars pour régulariser la situation, alors que les 6 400 personnes ayant trop perçu ne seront pas tenues de rembourser les 2 millions de dollars de subventions allouées par erreur. Cet incident ne creusera pas le « trou de la sécu » car, contractuellement, la société NCS qui administre le SI de la CHAS est tenue de rembourser l’intégralité du préjudice.
La déclaration du prestataire précise qu’il s’agit d’une erreur humaine de mise en production d’une mauvaise version du logiciel en cours de migration et nous rappelle que ce fameux « bug informatique » est toujours d’origine humaine.
Le dernier incident auquel l’article fait référence concerne la publication sur le Web des données de santé de 14 200 patients atteints du virus du sida [4]. Le 28 janvier, le ministère de la Santé révélait que cette fuite de données avait été orchestrée par un ressortissant américain, Mikhy Farrera-Brochez, lui-même séropositif, qui s’était vu condamner pour avoir présenté un échantillon de sang de son petit ami, médecin singapourien, afin de cacher à son employeur qu’il était porteur du VIH.
Si vous songez à une reconversion professionnelle, je vous déconseille vivement la fonction de ministre de la Santé à Singapour.
[1]
[2]
[3]
[4]
Avez-vous apprécié ce contenu ?
A lire également.

Mais non, la 27001 n’est pas lourdingue !
06 oct. 2025 - 22:14,
Tribune
-Récemment, je suis tombé sur un post selon lequel, en gros, la compliance (conformité) serait un mal nécessaire pour décrocher des contrats, des marchés, mais qui globalement n’aurait quasiment pas d’autre utilité, et que sa contribution à améliorer le « système » est tout sauf claire. Bref, c’est b...

FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies
06 oct. 2025 - 21:41,
Actualité
- DSIHPour fluidifier les parcours, offrir une vision exhaustive des données patients, connecter la ville et l’hôpital, et permettre aux nouvelles générations d’algorithmes de révéler tout leur potentiel, l’interopérabilité devient essentielle. Autour d’un dîner-conférence organisé par Infor, experts amér...

Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé
02 oct. 2025 - 10:31,
Communiqué
- La Poste Santé & AutonomieRendez-vous le 9 octobre 2025 à Paris pour la 3ᵉ édition d’Horizon Santé 360, l'événement annuel de La Poste Santé & Autonomie.

Le Data Act : une nouvelle ère pour la gouvernance des données de santé
30 sept. 2025 - 07:15,
Tribune
-Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...