Christophe FOURDIN : retour d'expérience : Fuite d’information du dossier patient sur le web

1. Fuite d’information du dossier patient
sur le web
Présenté par Christophe FOURDIN (R.S.I.)

2. La détection: le 17 Février 2016
La presse régionale nous informe par
téléphone que des données de patients
sont disponibles sur Internet.

3. Origine du problème
• L’éditeur du DPI avait migré 3 semaines
auparavant le logiciel sur un nouveau serveur
Linux Windows et lors de cette migration le
répertoire de stockage des Fichiers Pdf n’a pas été
protégé de l’accès extérieur.
• Google a ainsi pu indexer les pages.
• Les documents scannés dans le DPI sont
accessibles sur Google si l’on recherche un
patient qui est présent depuis la migration du
serveur.

4. Réactions
Réaction immédiate: on ferme l’accès
extérieur au DPI
• Cela n’est pas suffisant car les documents sont
indexés sur Google et disponibles en cache.

5. Deuxième correctif
• L’éditeur est mis au courant du problème de
cache et se charge de désindexer les pages
chez Google.
• A 23h00 l’éditeur nous informe que les
résultats des recherches sur Google ne sont
plus accessibles.

6. Autres Actions
• Action juridique et plainte déposée ainsi
qu’une action en justice qui est toujours en
cours.

7. Conséquences a posteriori
• Audit approfondi de sécurité sur le logiciel
empêchant l’accès extérieur au DPI ce qui
entraine une gêne pour les praticiens.
• Suite à la parution d’articles dans les médias
régionaux, l’image de marque de nos
établissements a été dégradée.
• + Sensibilisation de la Direction à la sécurité
informatique.