18 Décembre 2024
Contexte de l’attaque:
Hier, la Chambre Contentieuse de l’APD a infligé une amende de 200 000 € à un hôpital belge pour des failles de sécurité découvertes après qu’une attaque de type «ransomware» en 2021 ait affecté ses serveurs et paralysé une partie de son système informatique.
L’intrusion a été réalisée par un hacker en Asie via le serveur de messagerie Microsoft Exchange. Le pirate a désinstallé l’antivirus puis installé un programme malveillant. Cela lui a permis de créer un compte «administrateur» et de contrôler les accès, et l’équivalent de 5 Go d’informations a été exporté par le hacker lors de l’attaque. En conséquence, le service des urgences a été fermé pendant 3 jours et il a fallu près de 12 jours à l’hôpital pour remédier pleinement aux conséquences de la violation, y compris la fonctionnalité des comptes de messagerie du personnel.
L’hôpital a informé l’APD de la violation de données personnelles et a publié un communiqué de presse pour informer le public. En raison des indicateurs de risque accru (c’est-à-dire catégories particulières de données personnelles impliquées et plus de 300 000 personnes concernées), une inspection a été effectuée et l’APD a fourni à l’hôpital des questionnaires relatifs à l’enquête sur l’incident.
Conclusions de la DPA:
Le rapport confirme que la violation de données était sans aucun doute le résultat d’une intrusion externe dans l’infrastructure du défendeur depuis l’Asie. Le rapport a également identifié un certain nombre de violations des obligations en matière de protection des données. En particulier:
1. Violation de l’article 35.3 du RGPD en raison de l’absence d’analyse d’impact sur la protection des données
La DPIA couvrira toutes les activités de traitement, y compris les comptes de messagerie du personnel (où les données sensibles sont traitées par ces moyens), car il est clair que c’est de là que vient l’origine de la violation et qu’elle a finalement affecté les serveurs contenant les dossiers des patients, notamment les radiographies:
P. 65 et 66: « Même si l’attaque n’avait visé que les comptes de messagerie du personnel, le fait que ces derniers permettent de traiter à grande échelle des données sensibles de personnes vulnérables impose donc au défendeur de respecter son obligation de procéder à une AIPD concernant un tel traitement, que ces données soient ou non cryptées lors de l’envoi de messages électroniques.
(…) Il ressort du rapport d’enquête que les serveurs de l’hôpital ont été paralysés (y compris les logiciels supportant les dossiers médicaux), et que ces derniers ont cessé de fonctionner à la suite de l’attaque »
En outre, la Chambre a déclaré que les évaluations des risques effectuées par les auditeurs de l’hôpital ou que la DPIA avait été commandée ne pouvaient pas être considérées comme satisfaisant à cette exigence.
2. Violation des articles 5.1.f et 32 du RGPD en raison de l’inexistence d’une politique de sécurité et de confidentialité efficace et formelle au moment de la violation de données
L’hôpital disposait d’un certain nombre de documents à la suite de la violation de données, mais ils n’étaient ni liés ni référencés les uns aux autres et n’étaient pas axés sur la sécurité et la confidentialité, certains d’entre eux étaient liés aux soins de santé et d’autres étaient des accords informatiques. De plus, les réglementations sectorielles nécessitent la mise en œuvre d’une politique formelle, ce qui n’a pas été le cas.
P. 78 : « (…) avant cette date, la politique de sécurité de l’information consistait en un ensemble de documents (voir paragraphe 84). Toutefois, la mise en œuvre d’un ensemble de documents sans lien entre eux, ni référence les uns aux autres, avec des finalités étrangères à la mise en œuvre des mesures techniques et organisationnelles prévues par le RGPD, ne constitue pas des « mesures techniques et organisationnelles appropriées » pour faire face aux risques, au sens de l’article 32.1 du RGPD. De plus, les normes minimales (…) nécessitent une politique formelle (…) »
3. Violation des articles 5.1.f, 24 et 32 du RGPD en raison de l’inefficacité de la politique et/ou de la procédure de mise à jour de la sécurité des équipements informatiques (logiciels)
La soi-disant politique consistait en une série de contrats de consultants conclus par l’hôpital pour assurer un suivi mensuel de ses installations. Il évoque également les mesures prises suite à la violation de données. Le résultat de l’enquête a été que la faille exploitée par le pirate était due à une vulnérabilité du serveur Microsoft Exchange, donc seule la vérification des pare-feu et des passerelles antivirus n’a pas empêché l’exploitation de ce type de vulnérabilité, considérée comme « critique » en raison de sa facilité d’exploitation. La solution réside dans une gestion adéquate des correctifs, que le CEPD a incluse comme l’une des mesures de sécurité les plus importantes dans ses lignes directrices 01/2021 du 14 décembre sur des exemples de notification de violations de données.
4. Violation des articles 5.1.f, 24 et 32 du RGPD en raison d’autres mesures de sécurité manquantes, à savoir:
- L’absence d’un programme de formation/sensibilisation adéquat et régulier à la protection des données pour les salariés, adapté à leurs fonctions. Il convient de noter que si la formation sur le phishing est utile, elle ne suffit pas à couvrir les aspects importants de la protection des données personnelles;
- L’absence d’un système de conservation des journaux pour une analyse ultérieure en cas d’incident, conçu pour empêcher la suppression ou le cryptage des journaux;
- L’absence de tests, d’analyses et d’évaluations réguliers de l’efficacité des mesures techniques et organisationnelles visant à assurer la sécurité du traitement, y compris le matériel et les logiciels, afin d’assurer un niveau de sécurité adapté au risque;
- Faible sécurité du mot de passe d’accès au dossier informatisé des patients, qui, selon l’APD, doit comporter au moins 12 caractères et comporter un mécanisme de double authentification
Décision de l’APD sur l’affaire:
Compte tenu de ce qui précède, l’APD a initialement proposé une amende de 3 000 000 € qui a été réduite à 200 000 € pour tenir compte du chiffre d’affaires du responsable du traitement et des mesures judiciaires.
MyData-TRUST est une société spécialisée dans la protection de la vie privée et des données pour la vie et la science, nous suivons en permanence les évolutions de cette législation pour offrir le meilleur service à nos clients.
