Publié

Une faille informatique a menacé la sécurité de données personnelles liées au Covid-19

Les soldats Liu Kelun, à droite, et Andreas von Bueren saisissent les données d'un patient Covid-19 que leur transmet l'infirmière, à l'hôpital fribourgeois (HFR), le mercredi 8 avril 2020 à Fribourg. [Keystone - Alessandro della Valle]
Des données Covid menacées de publication à cause d'une faille informatique / Le Journal horaire / 16 sec. / le 28 avril 2023
Des données de santé liées au Covid-19 ont été exposées à des risques de sécurité considérables en raison d'une faille de sécurité. Une tentative de piratage a pu être évitée en novembre dernier à la suite de l'intervention des autorités.

Un particulier a signalé au préposé fédéral et au Centre national pour la cybersécurité (NCSC) une faille du contrôle d’accès dans une banque de données stockant des données de santé provenant de centres de dépistage Covid-19 situés sur plusieurs sites en Suisse. Les responsables ayant pris les mesures immédiates appropriées, le risque pour les personnes concernées a pu être minimisé, indique le préposé fédéral à la protection des données et à la transparence.

Dans son rapport final publié vendredi, le préposé constate que cette banque de données de centres privés de dépistage Covid-19 était insuffisamment sécurisée.

Comme le risque pour les personnes concernées a pu être minimisé et que l'exploitation des centres de dépistage Covid-19 avait déjà été suspendue quelque temps avant la connaissance de la faille en question, la procédure est ainsi close sans recommandation, précise-t-il.

Souligner la présence de risques

Le préposé tire néanmoins des enseignements. Le cas démontre d'une part les risques qui peuvent résulter de failles dans une banque de données. D'autre part, la prise de mesures immédiates et la journalisation des accès à la banque de données ont permis d'exclure des risques supplémentaires pour les personnes concernées, écrit-il.

Le préposé fédéral à la protection des données était déjà intervenu pour faire fermer un site lié à la pandémie de Covid-19, au printemps 2021. L'ancienne plateforme mesvaccins.ch présentait des manquements graves en matière de protection des données et de sécurité. Plus tard, une commission parlementaire a relevé que le Département fédéral de l'intérieur et l'Office fédéral de la santé publique avaient exercé leur devoir de surveillance "avec une trop grande retenue".

La fondation a restitué les données de vaccination à une partie des quelque 300'000 utilisateurs par courrier électronique non chiffré. Les autres ont dû être détruites.

>> Pour aller plus loin, écoutez l'interview de Serge Bignens sur la gestion informatique des données médicales en Suisse :

La Suisse n’est pas encore au point en matière de gestion informatique des données médicales: interview de Serge Bignens (vidéo)
La Suisse n’est pas encore au point en matière de gestion informatique des données médicales: interview de Serge Bignens (vidéo) / L'invité-e d'actualité / 9 min. / le 14 janvier 2022

ats/juma

Publié