Protection des données : un lanceur d’alerte licencié par Dedalus
Dedalus est un expert dans la fourniture de programmes informatiques dédiés au secteur de la santé a licencié un employé strasbourgeois pour avoir divulgué des informations relatives au fonctionnement de certains programmes sans l’accord de ses responsables.
Interrogé par les médias le développeur témoigne : « C’est comme si j’entrais chez toi et que je prenais tout, sans même que tu puisses t’en rendre compte. ». Il faisait partie de la branche de Dedalus France implantée à Strasbourg. Il travaillait depuis 2018. Le temps que l’entreprise d’une certaine manière s’est autoproclamée comme étant le « leader européen et acteur mondial clé dans le domaine des systèmes d’information de santé clinique et administratif ». Texte employé Dedalus durant ces 2 ans de fonction, détecte une centaine de failles de sécurité avec ton les logiciels vendus à plusieurs établissements de santé laboratoire : « J’étais déçu de réaliser qu’un simple développeur, autodidacte comme moi, pouvait trouver autant d’énormes failles dans les systèmes informatiques de Dedalus… ». Mais en avril 2020, il est licencié par ses employeurs car ces derniers n’ont pas apprécié sa démarche qui consistait à divulguer ses vulnérabilités sans l’accord de ses responsables.
Cet article va aussi vous intéresser : Sécurité informatique: l’éditeur Dedalus aurait manqué à ses devoirs de protection de données
On peut comprendre la réaction du groupe informatique. En effet pour une société aussi importante, ces différentes failles de sécurité posent énormément de problèmes et surtout ne correspondent pas à son statut. Par exemple en 2017, l’entreprise à travers sa filiale Netika équipe est près de 2800 établissements de santé des secteurs privé et public. L’entreprise est composée de 70 employés avec un chiffre d’affaires de 6 000 000 €. L’entreprise affirme elle-même occupé 60 % du marché dédié à la biologie médicale. Ayant été racheté par Medasys, l’entreprise peut se vanter d’être « principal éditeur et intégrateur français de logiciels médicaux pour établissements de santé, publics et privés ». Et en 2019, Medasys change de nom avec ses filiales pour devenir le groupe Dedalus France. Pour l’année 2019, l’entreprise enregistrer 55 millions € de chiffre d’affaire, une forte hausse par rapport à 2018 où elle a enregistré 34 millions d’euros.
Malgré ce positionnement, le groupe n’a malheureusement pas pu suffisamment sécurisé certains de ses programmes informatiques, dont certains avaient été piratés par les cybercriminels afin d’obtenir des comptes rendus d’analyses médicales. Des rapports sur le covid-19 par exemple. « En accédant aux serveurs des laboratoires ou des groupements hospitaliers, un pirate informatique aurait pu paralyser leurs ordinateurs ou effectuer une attaque de type ransomware (logiciel de rançon) en exploitant les failles que j’ai détectées », explique l’ex employé. Selon ce dernier, l’entreprise manque d’une sérieuse organisation sur le plan de la sécurité informatique : « On me disait que les réparations étaient trop compliquées à mettre en place, que les corrections allaient entraîner des bugs du logiciel ou qu’on n’avait pas le temps… », explique ce dernier par ailleurs, L’un de ses anciens collaborateurs notait : « En arrivant ici, je m’attendais à découvrir une sécurité de ouf (sic) mais en fait la cybersécurité à Dedalus Biologie n’est pas prioritaire. La plupart des gens ici ont été formés dans une période comprise entre cinq et dix ans et n’ont reçu aucune formation sur la sécurité depuis ce moment. La sécurité est un domaine qu’on voit déjà que très peu en école habituellement. Il n’y a pas de sensibilisation auprès des salariés. ».
Interrogé sur la question, le directeur technique du groupe Dedalus explique l’importance pour le salarié de savoir rester à sa place : « Je comprends bien la situation, mais c’est important de respecter la hiérarchie. Par exemple, les vulnérabilités CVS sont un gros problème, mais tu ne peux pas envoyer un mail direct au responsable des nouvelles technologies, et au directeur de la sécurité de l’information. (…) Travailler pour une organisation implique, pour le bien ou le mal, de respecter la structure de l’organisation. Probablement que ton approche proactive ne correspond pas bien à la méthodologie de Dedalus. ».
Il faudrait reconnaître que la situation de lancer d’alerte est toujours délicat. Si l’ex employé de Dedalus a été tout simplement congédié de son poste, il faudrait mentionner le fait qu’il aurait pu être poursuivi en justice par ses anciens patrons.
Accédez maintenant à un nombre illimité de mot de passe :