L'histoire commence en 2018 alors qu'il est recruté par la société Dedalus comme développeur. Passionné de cybersécurité, il identifie rapidement plusieurs failles dans les logiciels et systèmes d'information de l'entreprise. Des particuliers ont aussi alerté : en se connectant à un logiciel fourni par l'entreprise pour consulter les résultats de leurs examens de biologie, ils découvrent qu'ils peuvent avoir accès à l'ensemble des ordonnances et résultats hébergés sur la plateforme !
Et ce n'est pas tout : l'intranet de l'entreprise est accessible à n'importe qui depuis l'extérieur, tout comme l'extranet comprenant notamment les tickets ouverts par les hôpitaux et laboratoires clients de Dedalus. Il parvient aussi à récupérer la clef privée permettant d'accéder aux serveurs de la société.
Problème : le lanceur d'alerte n'a pas été recruté pour identifier les brèches de sécurité affectant les logiciels commercialisés par son employeur. Ce qui n'empêche pas ses supérieurs de reconnaître dans un premier temps son expertise, de lui demander des investigations complémentaires... avant de le rappeler à l'ordre et de s'en séparer en 2020. Sans pour autant colmater les failles identifiées.
Saisie, la Cnil finit par enquêter et par sanctionner Dedalus pour plusieurs manquements au RGPD (règlement général sur la protection des données). Elle estime que les données médico-administratives de près de 500 000 personnes ont été compromises et condamne la société à une amende de 1,5 millions d'euros.
Des risques et une sanction que les alertes internes auraient pu éviter.
Pour faire entendre la voix des lanceurs d'alerte, nous avons besoin de votre aide : https://mlalerte.org/dons
