Notification d'un incident concernant la sécurité des données
Dans le cadre des mesures de supervision de la sécurité de nos systèmes d’information, nous avons repéré et circonscrit un incident cybersécurité récemment survenu au sein de la Clinique du Sud. Cette cyberattaque concernant la sécurité des données a malheureusement entraîné un accès non autorisé à certaines de vos informations personnelles.
Que s'est-il passé ?
Le 17 janvier 2023, l’équipe de la Direction systèmes d’information d’ELSAN a découvert que les systèmes informatiques du siège du groupe ELSAN ont subi une cyber-attaque et que la Clinique du Sud a également été touchée.
Dès la découverte de l’incident, ELSAN a immédiatement pris les mesures adéquates pour en limiter les conséquences. Nous avons engagé des experts en cybersécurité et en analyse scientifique (appelés forensiques) pour sécuriser et restaurer les systèmes ainsi que pour enquêter sur la cause et l'étendue de l'attaque. Nous avons également fait appel à des experts spécialisés en réponse et gestion des attaques de ce type, sous forme de rançongiciel.
Depuis la découverte de l’incident, nos équipes techniques et les experts sont mobilisés en permanence, 24h/24, 7 jours/7, pour y remédier.
A la suite d’investigations approfondies, il est toutefois apparu qu’un serveur de fichiers de la Clinique du Sud a été touché. Des données caractère personnel ont été copiées de nos systèmes par le pirate informatique, parmi lesquelles certaines données de patients.
Quelles sont les informations personnelles concernées ?
Les informations personnelles qui ont été potentiellement affectées comprennent :
- L’identité (nom, prénom)
- Des informations liées au code du service d’admission de l’établissement,
- Des données de santé telles que les données de codification du séjour nécessaires à la tarification à l’activité et pour certains seulement pendant la période 2013 à 2017, la raison de leur ALD.
Que doivent faire les personnes concernées ?
Nous n'avons aucune preuve que des informations personnelles aient été utilisées abusivement, et l'objet de l'attaque semble avoir été de perturber notre réseau plutôt que de cibler directement les informations personnelles. Toutefois, nous recommandons de suivre les étapes décrites ci-dessous pour se protéger contre les risques potentiels.
1. Se méfier des tentatives d'incitation au partage d’ informations personnelles
Pour se protéger contre l'ingénierie sociale et les tentatives d’hameçonnage (tentatives de manipulation visant à faire partager les informations personnelles), il est recommandé de :
- Se méfier de toute personne demandant des informations personnelles ou des autorisations d'accès, même si elle semble déjà connaître certaines informations ;
- Ne pas répondre pas aux courriels ou aux SMS demandant des informations personnelles - peu d'organisations légitimes demandent des informations personnelles par courriel ou SMS ;
- Faire attention aux appels téléphoniques non sollicités qui prétendent provenir d'une autorité administrative, de la sécurité sociale ou d'une entreprise. ELSAN ou la Clinique du Sud ne vous contacteront jamais personne par téléphone pour obtenir de telles informations.
2. Redoublez de vigilance
D'une manière générale, dans un contexte où la donnée personnelle est devenue une denrée prisée par les hackers, il s’agit d’être d’autant plus vigilant lors de la saisie de données sur le web ou lorsque qu’on reçoit des lors de la réception de courriels demandant de fournir ou de mettre à jour des données personnelles. Il est recommandé de ne faut pas répondre pas aux courriels qui paraissent suspects et de les détruire immédiatement ; de ne pas cliquer sur les liens contenus dans des messages et sms dont la provenance parait suspecte.
Et en cas de suspicion de l’utilisation frauduleuse de données personnelles, il est important de conserver toutes les preuves (messages, adresse du site web, captures d’écran…), et éventuellement déposer plainte au commissariat de police ou à la brigade de gendarmerie ou encore par écrit au procureur de la République du tribunal judiciaire.
Par ailleurs, ELSAN a déposé une plainte auprès de la gendarmerie et du procureur de la République en prenant soin de mentionner que des informations personnelles ont été potentiellement affectées.
ELSAN prend très au sérieux la sécurité des informations personnelles. Nous vous prions de nous excuser pour les inconvénients que cet incident pourraient causer à toutes les personnes concernées. Nous tenons à vous assurer que nous enquêtons sur la manière dont cet incident s'est produit et que nous travaillons très dur pour nous assurer que les données sont protégées. La sécurité des informations personnelles demeure notre priorité.
Une plainte a été déposée à la suite de cet incident et nous l’avons déclaré à la CNIL (Commission nationale de l'informatique et des libertés), conformément aux obligations réglementaires. Nous travaillons en parallèle main dans la main avec les services spécialisés de la gendarmerie et de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) pour y répondre.
Si vous avez besoin de conseils supplémentaires sur la manière de protéger vos informations personnelles ou si vous avez des questions vous pouvez contacter le centre d’appel dédié mis en place au 0 805 101 295.
Standard : 04 68 11 05 49
Ouverture de l'accueil de la clinique Du lundi au vendredi : 8h30 - 12h30 et 13h30 - 17h15 Le samedi : 9h30 - 12h30 et 13h00 - 15h45