Sécurité informatique: l’éditeur Dedalus aurait manqué à ses devoirs de protection de données
Un ancien employé de l’éditeur Dedalus reproche à son ancien employeur d’avoir manqué à certaines obligations de protection de données.
C’est d’ailleurs pour cette raison qu’il aurait été viré pour avoir révélé cette faute. Apparemment, ce dernier aurait fait part d’une faille de sécurité est importante négligé par la société qui l’employait, selon NextInpact, un site web d’information le 2 octobre dernier.
Cet article va aussi vous intéresser : 4 points clés à surveiller pour une protection efficace des votre système d’information
Les accusations ont été démenties par la société spécialisée dans l’informatique hospitalier auprès d’un autre site d’information.
L’affaire commence le 2 avril 2020, durant le confinement. L’employé de groupe Dedalus et mise à pied par son employeur à titre conservatoire est convoqué pour un entretien. Des faits lui a été reproché d’attendre depuis le 25 mars 2020. Selon le développeur web, à cette date il avait identifié une vulnérabilité très importante qui touchait un logiciel destiné au laboratoire médical de biologie du monde KaliLab. Une faille de sécurité qui pouvait « permettre d’accéder comme administrateur aux infrastructures informatiques de plus de 150 laboratoires d’établissements de santé. ». Cet accès à ce serveur pouvait alors être déverrouillé grâce à une clé privée appartenant au groupe d’informatique sanitaire. « Nous rappelons qu’en interne, l’accès à cette clé est réservé aux développeurs de l’intranet Dedalus Biologie. Cette clé a été récupérée sur une adresse URL précise et sans recherche préalable. » a expliqué l’éditeur dans un courrier, qui se réfère « à des traces d’accès au serveur web prélevées le 25 mars dès 13h26, soit 1h30 après que vous l’ayez vous-même récupérée en votre qualité de développeur » reproche le groupe à son ancien client.
Pour sa défense, l’ancien développeur a signifié avoir signalé la faille de sécurité en janvier 2020. Ces dirigeants français auraient été plusieurs fois alerté par lui, ainsi que le responsable italien du groupe, Dès le début du mois de mars. C’est après tout cela qu’il s’est permis d’informer le fonctionnaire chargé de la sécurité des systèmes d’information, rattaché au ministère de la Solidarité et de la santé Monsieur Philippe Loudenot. La faille était suffisamment importante pour affecter le bon fonctionnement de plusieurs établissements de santé qui sont clients à la société. Durant une période où l’on était pleinement ‘engagé dans la lutte contre le covid-19.
Le fonctionnaire du ministère prenant ainsi l’affaire au sérieux va d’abord contacter la direction de groupe à partir du 26 Mars. D’abord avoir des renseignements sur les établissements concernés par la vulnérabilité ainsi que les éléments récoltés.
« Le groupe Dedalus a fait le nécessaire pour sécuriser ces accès et proposé une nouvelle version du logiciel. Nous avons eu un retour concernant cette montée de versions par la Société française d’informatique de laboratoire (SFIL) le 2 avril 2020 », a souligné le FSSI dans un second document.
Signifions que le licenciement du développeur a été fait par un courrier. Un licenciement qui est jugé par ce dernier comme étant abusif.
« Vous avez décidé de façon unilatérale de vous soustraire aux directives de vos managers et donc au lien de subordination qui vous lie à nous » pouvait-on lire dans le document envoyé par la société au développeur.
La société lui reproche beaucoup plus de griefs que cela n’est mentionné par ce dernier. Par exemple :
– Accéder au serveur de l’intranet du groupe, en utilisant une clé privée.
– Accéder à la fiche d’installation des planètes dans un laboratoire affilié à l’assistance publique hôpitaux de Paris.
« Alors même que cette action n’avait aucun lien avec les tâches de développement que vous deviez réaliser », lui a été signifié.
La société spécialisée dans l’informatique hospitalière a plusieurs fois reproché à son ancien employé d’avoir outre passé le champ professionnel qui lui a été assigné. Déjà le 25 février, Dedalus propose à l’employé de rompre conventionnement le contrat de travail : « puisque malgré nos demandes de vous conformer à votre contrat de travail en restant focalisé sur le métier et les missions pour lesquels nous vous avons recruté, vous n’aviez d’autre souhait que d’être affecté sur une activité en cybersécurité ». Tel mentionné dans la lettre. La société l’accuse encore d’avoir même désobéi à la hiérarchie de l’entreprise pour accéder à des serveurs durant son temps de travail alors que cela ne lui était pas permis, sans même l’en aviser de son intention de rechercher des failles de sécurité.
Cependant de son côté l’ancien employé de Dedalus a signifié avoir plusieurs fois averti ses supérieurs de la faille de sécurité. Il estime avoir respecté la procédure exigée par la FSSI. Il affirme que cette faille de sécurité existe depuis 7 ans.
« Je repérais ces failles en faisant mon travail de développeur justement, et ma conscience professionnelle m’empêchait de continuer et de faire comme si je n’avais rien vu donc je les faisais systématiquement remonter » précise l’ex employé de Dedalus.
Il ajoute par la suite « C’est dommage d’en arriver là, de devenir un lanceur d’alerte, alors que ces problèmes de sécurité auraient pu être largement être réglés en interne à partir des signalements effectués, si la direction et mes managers avaient pris la pleine mesure des risques liés à la cybersécurité dans un domaine aussi critique que celui des données de santé ».
Accédez maintenant à un nombre illimité de mot de passe :