En direct du congrès APSSIS 2025 – fuite de données, organisation et communication de crise

Mardi 19/11/2024 alerte par un journaliste d’une fuite de données concernant l’éditeur (sans plus de précision).

11h07
Difficulté d’identification du client concerné dans un contexte SaaS HDS, qui concerne au final un groupe de cliniques en restructuration : pas de contacts à jour dans cette nouvelle organisation, et (point important) Client On Premise chez son propre hébergeur HDS.

11h54
Prise de contact du client, échange des analyses et des actions menées à ce stade.
Constat d’un DPI publiquement accessible sur Internet, l’éditeur conseille la coupure totale des accès Internet.

13h27
Phase de conseil sur la nécessité d’une déclaration de violation de données auprès des autorités concernées et mise en relation avec la source journalistique initiale.
Début de mise en œuvre de remédiation : changement de tous les mots de passe d’accès au DPI, le Client active sa propre cellule de crise.
Confirmation de la technique d’intrusion : fuite d’un mot de passe applicatif à hauts privilège : blocage par l’éditeur de certaines fonctions d’export de données du DPI.

13h44
Publication de la faille par le journaliste à l’origine
Communication impossible à maîtriser, viralité très élevée.

16h30
Communication publique de Softway Medical sur l’incident, son origine, ses impacts.

17h17
Communication de l’analyse technique définitive au client.

Mercredi 20/11
Interview avec les grands médias et en plus communication avec les salariés en interne de l’entreprise.
La presse publie plus de 70 articles en 3 jours

Cette chronologie très transparente enseigne plusieurs choses :

- cela va très vite : entre le contact par le premier journaliste et la communication virale non maîtrisée, moins de 24h se sont écoulées ;

- l’analyse technique de l’origine de la faille et les mesures conservatoires initiales sont un grand classique, ce qui l’est moins (pour les non-initiés) c’est la charge de communication qui entoure ce genre d’incident, pour tous les acteurs concernés ;

- comme cela a déjà été le cas par le passé, la transparence est un atout et pas un frein : enfermer les cadavres dans les placards (ce que personne n’a fait ici) est une très mauvaise idée.

Et l’on retient qu’il est assez rare de voir une conférence sur un cas de crise avec autant de transparence, ce qui est à mettre au crédit de Softway Medical sans aucun débat.