L’autorité suédoise de protection des données, l’Integritetsskyddsmyndigheten (IMY), a ouvert une enquête après qu’une importante violation de données a exposé les informations personnelles d’environ 1,5 million de personnes.
L’incident remonte au mois d’août, lorsque le fournisseur informatique Miljödata a été touché par une attaque de ransomware à grande échelle. Le fournisseur dessert des clients municipaux et régionaux dans toute la Suède, notamment dans des régions telles que Gotland, Halland, Kalmar, Varberg, Umeå, Luleå, Kiruna, Mönsterås, Karlstad et Skellefteå. La violation aurait touché plus de 200 municipalités et régions.
Les pirates ont réussi à accéder et à publier de grands volumes de données personnelles sur le dark web. Les données compromises comprennent des noms, des certificats médicaux, des plans de réadaptation, des dossiers d’accidents du travail et d’autres données de santé sensibles. L’IMY a déclaré que l’ampleur de l’infraction n’était pas encore déterminée, mais a souligné la gravité de l’incident.
Le ministre suédois de la Défense civile, Carl-Oskar Bohlin, a commenté publiquement la situation. Dans une déclaration publiée sur X, il a souligné que le gouvernement prend très au sérieux ces cyberattaques et incidents informatiques et a reconnu l’inquiétude et l’incertitude auxquelles les victimes peuvent être confrontées.
L’IMY a lancé des enquêtes approfondies sur Miljödata et plusieurs organisations touchées, notamment la ville de Göteborg, la municipalité d’Älmhult et la région de Västmanland. L’organisme de réglementation a indiqué qu’il pourrait élargir son examen à d’autres entités. Jenny Bård, chef de l’unité de surveillance par caméra à l’IMY, a déclaré que la violation « soulève un certain nombre de questions sur ce à quoi ressemblait la sécurité et quels types de données personnelles ont été stockées sur les systèmes ».
À ce stade, IMY n’a pas fourni de calendrier pour l’achèvement de l’enquête, et Miljödata n’a pas encore révélé publiquement comment les acteurs du ransomware ont réussi à infiltrer ses systèmes.
L’affaire souligne le risque posé par les fournisseurs informatiques tiers. Une violation d’un seul fournisseur a eu un impact sur un grand nombre d’institutions publiques et sur les données de santé d’une partie importante de la population suédoise. Selon les observateurs, cela pourrait inciter à un examen plus approfondi de la façon dont les organisations du secteur public sélectionnent et supervisent leurs prestataires de services. Étant donné que les données sur la santé et le travail sont très sensibles, les personnes touchées peuvent être confrontées à des risques d’atteinte à la vie privée et à une discrimination potentielle si les informations sont utilisées à mauvais escient.
Pour les municipalités touchées, les défis immédiats consisteront à identifier les personnes touchées, à les notifier en vertu de la loi suédoise sur la protection des données et à mettre en œuvre des mesures correctives et de surveillance pour prévenir les abus. Les autorités municipales qui stockent ou traitent les données exposées peuvent également faire face à des atteintes à leur réputation et à des sanctions réglementaires.
Dans toute l’Europe, les régulateurs sont très attentifs à de tels incidents. L’enquête de la Suède fait écho à une préoccupation plus large selon laquelle les attaques de ransomware contre les fournisseurs de services peuvent se transformer en incidents de données personnelles à grande échelle. Dans ce cas, plus d’un million et demi de personnes ont peut-être déjà vu leurs données rendues publiques, ce qui renforce l’urgence de la réponse du régulateur.
Alors que les enquêtes se poursuivent, l’IMY soutient qu’il faut tirer des leçons et corriger les faiblesses afin que des événements similaires soient moins probables à l’avenir. L’organisme de réglementation se concentrera sur l’identification des lacunes potentielles, telles que des contrôles d’accès inadéquats, une surveillance insuffisante des fournisseurs ou des retards dans la détection de l’intrusion, qui ont permis à la violation de se propager si largement.
Les personnes touchées doivent surveiller leurs comptes personnels et les communications pertinentes. Étant donné qu’il s’agit de données liées à la santé, ils peuvent vouloir vérifier les signes de contact inhabituel, les communications inattendues en matière de soins de santé ou d’assurance et les tentatives d’usurpation d’identité. Les organismes publics et les particuliers peuvent bénéficier du renforcement de l’authentification multifacteur, de l’examen des politiques d’accès des fournisseurs et de la réalisation d’audits de sécurité des accords avec les fournisseurs externalisés.