« Aucune information médicale n’a été divulguée ! »

JUSTICE/Adresse, situation familiale et salaire de plus de 2 400 salariés du CHPG ont été volées et diffusées par mail à 500 destinataires. Rencontre avec le directeur de l’hôpital Patrick Bini, qui a démarré un audit.

Pour vous, il s’agit d’un acte de malveillance visant le CHPG. Quelle peut être la motivation ?

Nous ne connaissons pas les motivations d’un tel acte. Il s’agit peut-être de créer une mauvaise ambiance dans l’établissement ou d’assouvir une vengeance, peut-être d’un salarié. Il y en a 2 700 dans l’établissement… Notre seule certitude est que cette ou ces personnes ne s’est (ne se sont) pas gênée(s) pour livrer des informations sur 2 400 agents !

Il s’agit de données compilées, mentionnant notamment des salaires ?

Le fichier diffusé tel quel n’existait pas. C’est en effet une compilation d’au moins 3 documents de travail créés à des dates différentes. D’ailleurs, les données qui ont fait beaucoup jaser portant sur les salaires sont fausses.

Ces documents ont été volés puis piratés ?

En l’état actuel de l’analyse interne, nous n’avons pas trouvé trace d’intrusion de l’extérieur dans nos systèmes de données. On ne sait pas comment les fichiers ont été dérobés. Les habilitations sont très restreintes. Seulement une vingtaine de personne ont accès aux bases de données et tous ne sont pas autorisés à les manipuler…

A qui le fichier a-t-il été envoyé ?

Le fichier a été envoyé au carnet d’adresses professionnel et personnel de la responsable du système d’information (qui a été hacké, N.D.L.R.) ainsi qu’à des adresses mails saisies manuellement comme les centres d’impôts ou les conseillers nationaux. Soit 500 destinataires en externes.

Nul n’est à l’abri d’un piratage mais cela montre une faille dans le système informatique de l’hôpital ?

L’enquête de la Sûreté publique en cours le déterminera. Rien ne permet au stade actuel des investigations internes d’affirmer que le système d’information soit en cause. Comme vous le rappelez, nul n’est à l’abri. A Toulouse, les données personnelles de 112 000 agents de police ont été révélées et diffusées sur Internet par un agent de police travaillant dans une mutuelle ! D’autres hôpitaux en France, (comme celui de Nice il y a deux ans, N.D.L.R.), ont été attaqués ou subi des piratages de messagerie. Aux Etats-Unis, des serveurs médicaux d’hôpitaux ont été piratés et ont même fait l’objet de demandes de rançons.

Quelles mesures comptez vous prendre pour renforcer le dispositif existant ?

Outre des actions internes mises en œuvre, dont on ne peut pas parler, la CCIN, autorité administrative indépendante mène une mission de contrôle et d’investigation. En outre, un audit sur la sécurité du système d’information a commencé.

Heureusement, aucun fichier de patient n’a été diffusé, avez-vous déclaré. Comment être sûr que cela ne puisse arriver ?

Aucune information d’ordre administratif ou médical concernant les usagers n’a été divulguée lors de cette cyberattaque, qui a uniquement concerné des données (qui plus est souvent erronées) des professionnels du CHPG.

Etes-vous conscient de l’inquiétude que cela peut susciter dans la population ?

Je mesure la gravité de la situation. Cependant, les bases de données et notamment celles relatives aux dossiers médicaux sont sécurisées pour une attaque extérieure, nous allons encore renforcer cette sécurité. On a des systèmes de pare-feu informatique, de cryptage avec signature électronique pour accéder dans les dossiers médicaux, toute une architecture de barrières pour empêcher l’accès hors habilitation des médecins.

Les syndicats parlent d’une bombe sociale semant la zizanie en interne. Comment gérez-vous le problème en interne ?

Nous informons régulièrement les professionnels des mesures que nous avons prises et nous avons rencontré la semaine dernière les agents souhaitant participer à des sessions questions-réponses, qui ont permis à chacun d’entre eux d’être informés sur cet acte de malveillance. Les personnels ont conscience de la malveillance de l’acte et ont hâte de connaître la conclusion de l’enquête de police.

_Propos recueillis par Milena Radoman

écrit par Milena