ENTREPRISES & STRATÉGIES — Services & Conseils

Cybersécurité

Ketterthill et Cerba se font voler des données de santé



En février, des données des laboratoires Cerba avaient été retrouvées en vente sur un forum et des patients, prévenus individuellement, s’étaient regroupés pour faire valoir leurs droits. En juillet, le laboratoire admet une nouvelle cyberattaque à cause d’un prestataire défaillant. (Photo: Shutterstock)

En février, des données des laboratoires Cerba avaient été retrouvées en vente sur un forum et des patients, prévenus individuellement, s’étaient regroupés pour faire valoir leurs droits. En juillet, le laboratoire admet une nouvelle cyberattaque à cause d’un prestataire défaillant. (Photo: Shutterstock)

Les laboratoires Cerba (le 6 juillet) et les laboratoires Ketterthill (le 16 juillet) ont annoncé s’être fait voler des données issues d’actes de biologie effectués entre le 1er janvier 2017 et le 24 juin 2021. C’est la deuxième fois cette année que le groupe français doit admettre une cyberattaque.

Les données de santé valent cher. Normal qu’elles soient de plus en plus la cible de vol par des hackers. Tour à tour,  le 6 juillet, pour les laboratoires Cerba , et le 16 juillet, pour les laboratoires Ketterthill – qui font partie du groupe Cerba Healthcare, a été annoncé un vol de données de certains actes de biologie effectués entre le 1er janvier 2017 et le 24 juin 2021.

On ignore encore l’ampleur du vol, mais selon les laboratoires Ketterthill, il s’agit «d’une défaillance de l’un de ses prestataires, en charge de l’hébergement d’une de ses bases de données». Cette base de données a été débranchée, dit le communiqué luxembourgeois et une veille ne permet pas, pour l’instant, de trouver trace d’une utilisation des données volées, soit le nom, le prénom, la date de naissance et le sexe du patient, la nature de l’examen réalisé et son résultat. Mais pas les coordonnées bancaires, postales, électroniques ou téléphoniques, ni les numéros de sécurité sociale.

L’incident a été notifié à la CNIL et l’Agence régionale de santé d’Île-de-France du côté français et à la CNPD du côté luxembourgeois. 

Le laboratoire luxembourgeois invite à se méfier des démarchages inhabituels. 

Ce n’est pas la première fois, cette année, que le groupe français est associé à une cyberattaque. La start-up française spécialisée dans la cybersécurité CybelAngel a publié une note dans laquelle elle évoque la présence, sur un forum, d’un jeu de données de 500.000 patients. Si le rapport ne fait pas le lien directement avec les laboratoires Cerba, le groupe français avait entrepris des démarches auprès de ses clients, selon une enquête de Libération, de Paris-Normandie et du Parisien . Avertis personnellement par le laboratoire français, des centaines de patients touchés s’étaient regroupés dans des groupes sur Facebook ou WhatsApp pour faire valoir leurs droits. Les données bancaires et électroniques et les numéros de sécurité sociale figuraient dans ce jeu de données mis en vente.