Intervention de Martin Hirsch

Absolument. Pour être transparent, je peux vous dire que le montant des prestations s'élevait à 30 millions d'euros. Pour ce faire, nous avons recruté des expertises externes de polytechniciens et embauché des CDD en interne. C'est à ce moment qu'a eu lieu le piratage auquel vous faites référence.

Nous devions transmettre tous les jours l'ensemble des données des dépistages de France, à la fois à Santé publique France et à l'assurance maladie. Durant une période, le système de réception par l'assurance maladie n'a pas permis d'intégrer les données. On s'est demandé si on prenait le risque de ne pas communiquer chaque jour le nombre de cas positifs au ministre.

On a, avec l'accord de tous, opté pour un dispositif de secours consistant à utiliser un logiciel du marché pour envoyer l'ensemble du fichier. Il se trouve que ce logiciel avait un défaut dont personne ne s'était rendu compte, sauf le hacker qui cherchait à pirater l'AP-HP pour pouvoir vendre des QR codes qu'il pensait pouvoir trouver dans nos données.

Nous avons fait l'erreur de ne pas détruire les fichiers une fois que nous n'en avions plus eu besoin. Ce sont ceux-là que le hacker a utilisés après avoir pénétré dans le logiciel, qui avait été acheté. Tous les logiciels possédaient ce défaut, qui a depuis été corrigé.

Il n'y a eu aucun intermédiaire extérieur dans cette affaire. Une erreur a été commise en ne détruisant pas les fichiers. La CNIL est bien évidemment venue tout contrôler, l'incident, dès qu'il a été connu, lui ayant été déclaré.

Je considère que nous n'avons pas assez de crédits pour sécuriser suffisamment nos systèmes d'information au rythme auquel nous voudrions le faire car il s'agit d'une vulnérabilité importante.