Incident sur données Alpes Santé Travail

Suite au piratage que nous, Alpes Santé Travail (AST), votre Service de Prévention et de Santé au Travail, avons subi le 07/03/2023, nous venons vous apporter les informations complémentaires et finales sur cet incident.

Dans le but de minimiser tout impact sur la vie privée des salariés de nos adhérents, nous souhaitons que ce message soit diffusé sur la liste globale interne de chacune de nos entreprises adhérentes, permettant d’atteindre le plus grand nombre de salariés.

Synthèse du piratage et de l’impact

Un serveur de notre système d’information local a été infecté par un cryptovirus, chiffrant les données de ce serveur et en dérobant une copie.

Conformément aux consignes du gouvernement, nous n’avons pas payé de rançon aux cybercriminels.

Le fonctionnement de nos services a rapidement été rétabli grâce à l’existence d’une sauvegarde externe, mais nous restons sans possibilité d’agir sur les données dérobées.

1- Les serveurs hébergeant les dossiers médicaux ainsi que les dossiers entreprises ne sont pas concernés. En effet le logiciel métier que nous utilisons (uEgar de l’éditeur Val Solutions) n’est pas hébergé sur notre système d’information local qui a été corrompu.

2- Les serveurs hébergeant nos messagerie e-mail ne sont pas concernés. En effet nous utilisons la solution Microsoft 365 qui n’est pas hébergée sur notre système d’information local.

3- Le serveur de fichiers concerné par l’attaque hébergeait des données liées aux ressources humaines d’Alpes Santé Travail ainsi que des répertoires hébergeant des documents d’organisation et de fonctionnement internes.

Ces derniers répertoires ne sont pas destinés à contenir d’informations identifiantes sur nos adhérents et leurs salariés, cependant il nous est impossible de garantir qu’ils ne contenaient aucune donnée de ce type.

Nous devons par conséquent adopter une posture sécuritaire et considérer comme probable que certaines informations personnelles aient été dérobées, bien qu’il s’agisse a priori d’un faible volume de données.

Recommandations à destination de tous les salariés des entreprises adhérentes

Il est possible que, parmi les données personnelles dérobées, bien que s’agissant uniquement de données très partielles de certains salariés, certaines de ces données vous concernent.

Ces données peuvent être utilisées de deux manières :

– effectuer des tentatives d’usurpation d’identité : il est alors recommandé de surveiller vos comptes bancaires et d’examiner tout message (e-mail ou SMS) qui pourrait signifier qu’une tierce personne tente d’utiliser votre identité à diverses fins.

– tenter de vous faire effectuer des actions, telles que des transferts financiers ou souvent de révéler vos identifiants confidentiels, en utilisant les informations dérobées pour vous convaincre de leur légitimité et gagner votre confiance.

Il est donc primordial que, pendant les quelques semaines et mois à venir, vous redoubliez de vigilance lorsque vous recevez SMS, appels téléphoniques ou e-mails suspicieux.

Si vous pensez avoir révélé vos identifiants liés à un compte en ligne, changez dès que possible votre mot de passe concerné, et alertez les gestionnaires du service en ligne.

Vous pouvez vous référer à cette page de la CNIL pour signaler des tentatives d’escroquerie :

https://www.cnil.fr/fr/spam-phishing-arnaques-signaler-pour-agir

Aspects réglementaires et juridiques

Suite aux déclarations faites auprès des services de police, de la CNIL, et de l’ANSSI, toutes les actions réglementaires et juridiques possibles de notre part ont été effectuées.

Les données liées à votre responsabilité de traitement ne sont pas impactées, la déclaration CNIL d’Alpes Santé Travail en tant que responsable de traitement lié au suivi de la santé des salariés est suffisante.

Synthèse des évolutions à l’étude chez Alpes Santé Travail

Même si le fonctionnement d’Alpes Santé Travail a été rapidement rétabli, sans impact sur le suivi de vos salariés, dans un esprit d’amélioration continue, nous étudions actuellement la mise en place des éléments suivants :

– renforcement de la sécurité globale du système d’information par la collaboration avec une entreprise experte spécialisée en cybersécurité, que ce soit sur le volet technique ou sur le volet de gouvernance,

– renforcement des ressources en charge de la gestion de notre conformité au RGPD, permettant de mettre un accent particulier sur la sécurité des données personnelles.

Le délégué à la protection des données (dpo@alpes-sante-travail.org) et toute l’équipe d’Alpes Santé Travail vous présente ses excuses pour les inconvénients que ce piratage pourrait causer ou avoir causé, et souhaite vous assurer de notre objectif d’une qualité de service en amélioration constante.