CyberNews a découvert une base de données non protégée de plus de 1,7 To, contenant des données commerciales confidentielles sur les ventes de produits pharmaceutiques, les noms des partenaires et des employés d'Apodis Pharma, un éditeur de logiciels basé en France, les statistiques de stock des entrepôts des clients, etc.
Apodis Pharma – qui propose une plateforme de gestion de la chaîne d'approvisionnement numérique et autres logiciels pour les pharmacies, établissements de santé, laboratoires pharmaceutiques et compagnies d'assurance maladie – a corrigé le problème dans la foulée.
La base de données répertoriait notamment plus de 25 000 organisations partenaires et clientes, les quantités et identifiants des produits pharmaceutiques, ainsi que les données d'entrepôt, les heures et lieux précis où les envois ont été ramassés par les vendeurs ou les distributeurs, ainsi que des visualisations et analyses des données des consommateurs et des clients, y compris les statistiques de genre des consommateurs, et des graphiques des ventes et des stocks des entrepôts.
La base de données avait été indexée sur au moins un moteur de recherche IoT populaire, laissant supposer que les données ont pu être consultées et éventuellement téléchargées par des tiers à des fins potentiellement malveillantes, estime Cybernews.
Contactée le 22 octobre dernier, Apodis Pharma n'aurait pas répondu à Cybernews, qui a donc averti le CERT le 29. Deux semaines plus tard, la base de données était cependant toujours en ligne, et ce n'est qu'après avoir alerté le directeur technique d'Apodis que le problème a été réglé.
Commentaires (17)
#1
Une SAS avec 5000€ de capital…
Mais que fait la CNIL !!
#2
arf je voulais pas faire une liste mais dire + 1
#3
Quel est le rapport? Tu peux créer une SAS à partir de 1€, si tu n’as pas d’investissements / prêts à faire, ça ne te change strictement rien.
#4
“Apodis Pharma…a corrigé le problème dans la foulée.”
“Contactée le 22 octobre dernier, Apodis Pharma n’aurait pas répondu à Cybernews, qui a donc averti le CERT le 29. Deux semaines plus tard, la base de données était cependant toujours en ligne, et ce n’est qu’après avoir alerté le directeur technique d’Apodis que le problème a été réglé.”
Je pense que ces 2 paragraphes sont contradictoires.
#4.1
Je pense qu’il y a surtout des secrétaires ou un responsable informatique qui n’ont pas fait leur travail.
J’ai déjà vu au boulot des secrétaires qui ne comprennaient pas les retraits de pharmacovigilance qu’elles réceptionnaient. À leur décharge, elles n’avaient pas eu de formations …
Je ne connaissais pas ce logiciel de Gestion d’Officine (LGO). Il est très jeune, il n’a reçu l’homogation SESAM-Vitale qu’en 2020:
https://www.sesam-vitale.fr/web/sesam-vitale/catalogue-produits?se=Solutions%20de%20facturation%20SESAM-Vitale (dans Spécialité de Santé, sélectionnez “Pharmacie d’officine”).
Par contre, il n’a pas l’agrément Dossier Pharmaceutique: http://www.ordre.pharmacien.fr/Le-Dossier-Pharmaceutique/Les-logiciels-valides-DP (je soupconne l’Ordre des Pharmaciens d’être plus exigeant dans les contraintes techniques).
Sur le site web, l’éditeur parle de 74000 pharmaciens:
https://www.solutions.apodispharma.com/pharmaciens
Sauf erreur, il y a 22000 pharmacies en France (avec un ou plusieurs pharmaciens y travaillant). C’est quoi la pertinence de ce chiffre ?? O_o
J’attends la réaction de la CNIL, car sauf erreur l’éditeur doit signaler lui le problème. Je serais curieux de savoir si l’Ordre des Pharmaciens pour se mêler du sujet (honneur de la profession …).
#4.2
Leur solution n’est pas un LGO mais un système qui permet d’extraire des stats et de les partager et les exploiter avec d’autres officines et d’autres acteurs de la chaine de distribution, assurances etc.
Les 74000 pharmacies ne sont évidemment pas en France uniquement.
#4.3
Il y a bien 74 000 pharmaciens inscrits à l’Ordre.
#4.4
Il y a 74000 pharmaciens inscrit à l’ordre ET 22000 officines. Une officine peut compter des pharmaciens salariés, qui pour délivrer des médocs doivent êtres inscrit à l’ordre. C’est comme les médecins : pour prescrire, il faut être inscrit à l’ordre. Des médecins continuent à payer leur cotisation à l’ordre des médecins juste pour être en mesure de prescrire, à leurs proches par exemple , bien qu’étant à la retraite (et la cotiz annuelle à l’ordre c’est pas donné)
#4.5
Je répondais à un commentaire qui doutait de la pertinence du chiffre de 74 000 pharmaciens affiché par l’éditeur cité dans l’article.
Le lien que j’ai fourni indique ce nombre ainsi que la répartition de ces inscrits dans les différents secteurs (officines, industrie, établissement de santé, etc).
#5
Le problème de ces affaires c’est que cela n’étonne plus.
#5.1
Dès lors qu’il y a cyber dedans c’est ingouvernable. Contradiction dans les termes mon amour….
#6
J’espère pour eux qu’ils ont prévenus la CNIL au plus vite parce que sinon ça va être un bonne tape sur les doigts.
J’imagine aussi que si une aussi grosse base de données a été laissé seule et ouverte c’est que l’audit CNIL va trouver des choses croustillantes à se mettre sous la dent. Attendons la suite.
#7
par rare que je vois des officines avec 2⁄4 pharmaciens dedans , sachant qu’il n’y a “que” 36 000 communes dont une bonne quantité sans pharmacie vu qu’elles sont “insignifiantes”, et que les officines sont autorisés à s’installer / nb d’habitants ( et plusieurs autres conditions )
#7.1
Pas grand chose à voir, mais en voyant les commentaires je me suis amusé à superposer la carte de 1km de confinement que j’utilisais avec la carte des pharmacies.
Dans 1 rayon de 1km autour de chez moi , il y a 19 pharmacies ( je suis dans Paris)
Même si je comprend l’aspect économique , Je trouve ça assez indécent quand on sait que certains
doivent faire des dizaines de km pour aller dans une pharamacie.
C’est la que le service public devrait ou pourrait combler ce genre d’anomalies.
#7.2
La loi réglemente déjà l’installation de pharmacie par bassin de populations notament, ce qui fait qu’il a peu de désert de pharmacie contrairement au désert de médecin généraliste (et ne parlons pas de certaines spécialité) car les médecins généralistes peuvent s’installer où ils veulent.
Pendant, le confinement, la contrainte de déplacement n’existait pour aller chercher des médicaments, le patient pouvait tout à fait faire 20 km si il avait un justificatif (une ordonnance).
Par contre, tu peux avoir une pensée pour les patients qui dooivent faire des kilomètres pour une pharmacie de garde, surtout que les secteur de garde des pharmacies et des médecins génralistes sont devenus bien différents.
#8
Si ce n’est un LGO quel est l’intérêt d’avoir l’agrément SESAM-Vitale ?? Je n’ignore pas qu’il existe d’autres logiciels que les LGO, notament ceux des collecteurs de données comme Celtipharm/OpenHealth, ceux des syndicats de pharmaciens mais ils s’intéresse plus aux médicaments vendus/disctribués qu’au stock.
La page du site web parle de 74000 pharmaciens mais elle ne disent pas sur quels point ils collaborent. Si ce sont les pharmaciens inscrits à l’ordre national des pharmaciens en France, la totalité ne collaborent pas avec ce logiciel, loin de là (premier exemple en tête les pharmaciens inspecteurs). Pourtant la page semble parler des pharmaciens d’officine (et tous les pharmaciens inscrits à l’ordre ne travaillent en pharmacie de ville).
Je ne comprends toujours pas ce chiffre qui me semble être de l’affichage pour ce donner plus d’importance que l’on a.
Je ne comprends l’intéret de ce logiciel. La description évoque beaucoup la gestion des ruptures de médicaments:
https://www.solutions.apodispharma.com/post/apodis-acteur-de-la-lutte-contre-les-p%C3%A9nuries-de-m%C3%A9dicaments
https://www.solutions.apodispharma.com/post/une-plateforme-anti-ruptures-de-stocks-en-projet
Si il est orienté rupture, pourquoi la base de données avait besoin d’informations sur les patients ??
Le Conseil National de l’Ordre des Pharmaciens développe depuis des années un outil sur les ruptures d’approvisionnement de médicaments: http://www.ordre.pharmacien.fr/Le-Dossier-Pharmaceutique/Ruptures-d-approvisionnement-et-DP-Ruptures
L’ordre des pharmaciens me semble plus légitime de travailler sur ce problème qu’une start-up.
Et je doute que ce logiciel soit un des rouages techniques du DP-Ruptures, le site web n’aurait pas manquer de le relever.
#8.1
Cette boîte collecte et traite des données. A partir desquelles elle propose notamment des solutions pour les acteurs de la logistique du médicament, pour leur usage à eux. Ce n’est pas comparable au DP-Rupture qui lui ne concerne que la chaîne de distribution (officines, PUI et maintenant grossistes et dépositaires) et qui est fait pour améliorer l’information et la disponibilité des médicaments dans un but de santé publique.