Un bug logiciel dans l'entreprise a laissé les données du NHS "vulnérables aux hackers"
Une faille logicielle expose les données du NHS
Une récente allégation a été faite concernant la sécurité des données des patients du NHS. Cette situation a été causée par une faille dans le logiciel d'une entreprise de services médicaux privés, Medefer. Cette entreprise gère environ 1 500 références de patients par mois. La faille a été découverte en novembre dernier, et un ingénieur en logiciel a déclaré que le problème aurait pu exister pendant au moins six ans.
Medefer a affirmé qu'il n'y avait aucune preuve que la faille ait duré aussi longtemps. De plus, la société a précisé que les données des patients n'avaient pas été compromises. La faille a été corrigée quelques jours après sa découverte. En réponse à ces inquiétudes, Medefer a engagé une agence de sécurité externe pour examiner ses systèmes de gestion des données.
Réactions du NHS et de Medefer
Un porte-parole du NHS a déclaré : "Nous examinons les préoccupations soulevées concernant Medefer et nous prendrons d'autres mesures si nécessaire." Le système de Medefer permet aux patients de prendre des rendez-vous virtuels avec des médecins, tout en donnant accès aux cliniciens aux données appropriées des patients.
Cependant, la faille logicielle a rendu le système interne d'enregistrement des patients vulnérable aux hackers. L'ingénieur a exprimé son choc face à cette découverte, affirmant qu'il pensait que cela ne pouvait pas être vrai. Il a mentionné que les API de Medefer n'étaient pas correctement sécurisées, ce qui aurait permis à des tiers d'accéder aux informations des patients.
Enquête et sécurité des données
Après avoir découvert la faille, l'ingénieur a recommandé à l'entreprise de faire appel à un expert en cybersécurité. Cependant, il a indiqué que Medefer n'avait pas suivi cette recommandation. Medefer a déclaré que l'agence de sécurité externe n'avait trouvé aucune preuve de violation des données et que tous les systèmes de l'entreprise étaient actuellement sécurisés.
La société a également rapporté l'incident à l'ICO (Information Commissioner's Office) et au CQC (Care Quality Commission) pour des raisons de transparence. L'ICO a confirmé qu'aucune action supplémentaire n'était nécessaire, car il n'y avait pas de preuve de violation.
Expertise en cybersécurité
Des experts en cybersécurité ont exprimé leurs préoccupations concernant la gestion des données par Medefer. Le professeur Alan Woodward a noté qu'il y avait une possibilité que les données du NHS ne soient pas stockées aussi sécuritairement qu'on pourrait l'espérer. Il a souligné que même si la base de données était cryptée, une faille dans l'autorisation de l'API pourrait permettre un accès non autorisé.
Un autre expert a insisté sur le fait que, compte tenu de la nature des données médicales, Medefer aurait dû engager des experts en cybersécurité immédiatement après la découverte du problème. Scott Helme, chercheur en sécurité, a conseillé qu'une enquête appropriée soit menée pour confirmer l'absence de vol de données.
Conclusion et perspectives
Medefer, fondée en 2013 par le Dr Bahman Nedjat-Shokouhi, vise à améliorer les soins ambulatoires. Malgré les préoccupations soulevées, la société continue de travailler avec le NHS. Un porte-parole du NHS a rappelé que chaque organisation doit respecter ses responsabilités légales et les normes de sécurité des données nationales pour protéger les informations des patients.
En fin de compte, bien que Medefer ait pris des mesures pour corriger la faille, la situation met en lumière l'importance cruciale de la sécurité des données dans le secteur de la santé.
