Piratage d’une plateforme d’eHealth Suisse

Berne, 28.9.2022 – Le 19 septembre 2022, la plateforme d’information dossierpatient.ch a été piratée. La faille de sécurité à l’origine de l’attaque a été rapidement identifiée et corrigée. L’exploitation sécurisée du site Internet est assurée.

Le 19 septembre 2022, le site Internet dossierpatient.ch s’est fait pirater. Cette plateforme d’information permet à eHealth Suisse, en tant que centre de compétence et de coordination de la Confédération et des cantons, de renseigner la population et les professionnels de la santé sur le but, le fonctionnement et le processus d’ouverture du dossier électronique du patient (DEP). La faille de sécurité à l’origine de l’attaque a été identifiée et rapidement corrigée. Grâce aux mesures immédiatement mises en œuvre, eHealth Suisse peut continuer à exploiter la plateforme d’information dossierpatient.ch, sans interruption et de manière sécurisée. L’auteur de cette attaque a volé les coordonnées des utilisateurs qui avaient rempli les formulaires de commande ou de contact. Il s’agit, comme c’est généralement le cas pour les formulaires de commande ou de contact en ligne, du nom et de l’adresse électronique des utilisateurs, c’est-à-dire 250 données environ, qui ne sont en principe pas considérées comme sensibles. L’incident a été immédiatement signalé au Centre national pour la cybersécurité (NCSC). De concert avec la Conférence suisse des directrices et directeurs cantonaux de la santé (CDS), l’OFSP a déposé une plainte auprès du Ministère public de la Confédération à Berne. Une enquête sur l’incident est en cours. Par ailleurs, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a été immédiatement informé d’un éventuel vol des données de contact des utilisateurs concernés par ce piratage ; l’incident a également été communiqué aux utilisateurs concernés.

Dossierpatient.ch est une simple plateforme d’information. eHealth Suisse n’y conserve aucune donnée administrative et sensible sur les clients ou leur santé, ni aucune donnée liée au DEP ou information concernant les utilisateurs du DEP. Au niveau technique et du contenu, le site Internet dossierpatient.ch n’est pas raccordé aux plateformes DEP. Les données de santé déposées par les utilisateurs du DEP n’ont à aucun moment été affectées par l’attaque. Le site Internet n’est pas hébergé par la Confédération. L’auteur de l’attaque n’a pas eu accès aux plateformes numériques de l’administration fédérale.