L’incident, détecté et neutralisé fin novembre, a exposé des données, sensibles pour certaines, de quelque 285 000 clients.
La plateforme de téléconsultation MédecinDirect a confirmé, lundi 8 décembre, avoir été victime d’une intrusion. Si celle-ci n’a pas eu d’impact sur le fonctionnement de la plateforme, elle a en revanche potentiellement exposé des données, relativement sensibles pour certaines, de quelque 285 000 utilisateurs.
MédecinDirect indique que l’intrusion informatique a été « détectée et immédiatement neutralisée le 28 novembre dernier ». L’entreprise assure avoir mis fin à l’intrusion et dit avoir sécurisé l’environnement compromis et lancé une analyse technique approfondie avec des experts internes et externes.
Des données sensibles exposées
« Conformément aux obligations légales, les personnes potentiellement affectées ont été informées dès que le périmètre exact a été confirmé, le 3 décembre », écrit-elle dans un communiqué. La Cnil a quant à elle été notifiée dès le 28 novembre.
Les données concernées n’ont rien d’anodin, puisqu’elles incluent des informations médicales très sensibles comme le motif de la téléconsultation, les réponses au questionnaire de pré-téléconsultation, les échanges écrits entre patients et médecins, ainsi que, dans un nombre limité de cas, des numéros de sécurité sociale. « Des données à caractère personnel et de santé sont susceptibles d'avoir été consultées », a reconnu l’entreprise.
Autant de données qui pourraient être utilisées dans des campagnes d’ingénierie sociale, comme du spear-phishing, voire dans des tentatives de chantage.
