Réponse de la Direction aux élus CGT lors du CSE HAD extraordinaire du 28/03/2023 concernant la faille sur l’accès aux sessions professionnelles, génériques et syndicales
- 1/ Depuis combien de temps cette « faille » est-il sur notre réseau ?
La Direction HAD n’apporte pas de réponse précise. Elle s’est engagée à faire des recherches.
La CGT pense que ces « dysfonctionnements » pourraient dater de 2008, à la création de la première session d’agent dans le disque dur de Vésale.
- 2/ Pourquoi en passant par le réseau il n’était pas demandé de mot de passe pour accéder à certaines sessions ?
La Direction de l’HAD nous répond que des sessions, de façon aléatoire, n’avaient pas de droits administrateurs sur le stockage informatique.
En résumé, il n’y avait aucune protection pour accéder à certaines sessions.
- 3/ Confirmez-vous que n’importe qui pouvait ajouter ou supprimer n’importe quel fichier, sur n’importe quelle session ouverte, sans droit d’administrateur ?
La Direction HAD nous répond que les droits d’écritures étaient ouverts pour tous.
Tout un chacun pouvait donc aller supprimer, ajouter, modifier, copier, couper et coller n’importe quelles données sur des comptes accessibles. Une personne malveillante aurait pu effacer des sessions ou toutes autres données sensibles.
La Direction nous informe que les comptes des nouveaux arrivants en HAD seront dorénavant paramétrés avec un accès exclusif à l’agent.
- 4/ Combien de sessions étaient accessibles ?
La Direction nous répond qu’en date du 28 mars 2023, 423 sessions du personnel HAD AP-HP et 72 comptes génériques (unités de soins, syndicats, magasins, Vésale, services transversaux etc…) étaient accessibles sur les 1200 comptes sur le disque dur, soit 1/3 de la totalité.
Pour information nous sommes à peu près 750 agents à l’HAD.
- 5/ Est-ce que le personnel d’un autre hôpital de l’AP-HP pouvait accéder à ces sessions ?
La Direction de l’HAD « n’y croit pas » mais « n’en est pas sûre ». Elle va se rapprocher de la Direction Informatique Centrale et reviendra vers nous. Il y aurait eu un échange entre la Direction Générale et le RGPD AP-HP (Règlement Général sur La Protection des Données) suite à notre alerte.
Un travail serait en train d’être fait par la DG pour voir si d’autres hôpitaux de l’AP-HP sont touchés.
La Direction de l’HAD est censée revenir vers nous concernant ces échanges et faire une communication institutionnelle (communication faite le 29/03/2023)
- 6/ Pourquoi la résolution de ce problème a-t-elle mis plus de 24 heures ?
La Direction de l’HAD nous répond que la Direction informatique HAD a dû intervenir sur ces dossiers individuellement.
En conclusion, plus de la moitié des comptes de l’HAD a potentiellement pu être visitée.
La Direction de l’HAD nous explique qu’elle pense contacter chaque personne concernée afin de leur signifier qu’elle a été victime d’une faille informatique.
La Direction de l’HAD a remercié la CGT d’avoir lancer l’alerte.
La CGT a alerté ses élus CSE central afin qu’ils mettent ce sujet à l’ordre du jour, car cela pourrait potentiellement concerner tous les agents et services de l’AP-HP.
Paris, le 30/03/2023