Incident de sécurité informatique concernant un laboratoire luxembourgeois d’analyses médicales

Réponse QP

3. September 2021

Réponse à la question parlementaire à Monsieur le Ministre de la Communication et des Médias, Monsieur le Ministre de la Sécurité sociale ainsi qu’à Madame la Ministre de la Santé au sujet d’un incident de sécurité informatique concernant un laboratoire luxembourgeois d’analyses médicales.

En date du 23 juillet 2021, un laboratoire luxembourgeois d’analyses médicales a publié un communiqué portant sur un incident de sécurité informatique auprès d’un laboratoire français, auquel le premier avait confié certaines données relatives à des actes d’analyses biologiques effectués entre 2016 et 2021. Du côté luxembourgeois, la Commission nationale pour la protection des données (CNPD) a été avertie.[1]

Outre le ministère de la Communication et des Médias chargé des relations avec la CNPD, l’incident a vocation à intéresser le ministère de la Santé ainsi que celui de la Sécurité sociale, en raison de la convention qui relie la Caisse nationale de santé et la Fédération luxembourgeoise des Laboratoires d’analyses médicales.[2]

Vu le caractère sensible des données compromises, il échet d’assurer un suivi étroit dans l’immédiat ainsi qu’une analyse approfondie par le futur.

Dans ce contexte, nous voudrions poser les questions suivantes à Monsieur et Madame les Ministres :

Comment le suivi de l’incident de sécurité susvisé sera-t-il assuré au niveau gouvernemental ?
Quelles sont les démarches que la CNPD entreprendra ou a déjà entreprises suite à la déclaration de l’incident ? Existe-t-il des procédures dédiées aux données hautement sensibles ou, au contraire, tous les incidents de sécurité sont-ils traités de la même manière ?
Les ministres sont-ils en mesure de fournir de plus amples informations sur le déroulement de la cyber-attaque, concernant par exemple le ou les attaquants, le lieu de stockage des données, etc. ?
Les personnes concernées par les données volées seront-elles informées individuellement de l’incident ainsi que de ses suites éventuelles ?
Quelle est l’incidence de la convention liant la CNS et la Fédération luxembourgeoise des Laboratoires médicales sur le niveau de sécurité informatique de ces-derniers ? La norme ISO 15189 telle que mentionnée dans les articles 30 et 39 de la convention couvre-t-elle également les différents aspects de la sécurité informatique ? Dans l’affirmative, cette norme publiée en 2012 est-elle toujours suffisante dans ce domaine ?
De manière générale, Monsieur le Ministre de la Sécurité sociale n’estime-t-il pas qu’au vu des cyber-attaques de plus en plus fréquentes visant les données de santé, et vu l’éventail de services de plus en plus large offert par les laboratoires, une précision voire un approfondissement des dispositions relatives à la sécurité informatique s’impose dans le cadre d’une prochaine convention avec les laboratoires d’analyses médicales ?

Question parlementaire

Réponse

[1] https://www.ketterthill.lu/fr/autres/actualites/incident-de-securite.html

[2] https://cns.public.lu/en/legislations/slbc/cns-fllam-convention.html

Cookie	Dauer	Beschreibung
lang		This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
pll_language	1 year	This cookie is set by Polylang plugin for WordPress powered websites. The cookie stores the language code of the last browsed page.

Cookie	Dauer	Beschreibung
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
vuid	10 years	This domain of this cookie is owned by Vimeo. This cookie is used by vimeo to collect tracking information. It sets a unique ID to embed videos to the website.

Cookie	Dauer	Beschreibung
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Dauer	Beschreibung
_gat_gtag_UA_140467137_1	1 minute	No description
CONSENT	16 years 8 months 4 days 6 hours 3 minutes	No description
cookielawinfo-checkbox-functional	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-others	1 year	No description

Incident de sécurité informatique concernant un laboratoire luxembourgeois d’analyses médicales

Réponse QP

« ZréckAll d'AktualitéitWeider »

Am Asaz fir eise Planéit

Gréngen Tëschebilan »

Zesumme virukommen

Gréngen Tëschebilan »

E Paradigmewiessel fir bezuelbaart Wunnen

Gréngen Tëschebilan »

Grondrecht op kulturell Fräiheet an Diversitéit

Gréngen Tëschebilan »

Grondrechter garantéieren an déi Vulnerabel an eiser Gesellschaft schützen

Gréngen Tëschebilan »

Fir Sécherheet suergen a Fräiheet erhalen

Gréngen Tëschebilan »

Gitt Member

Schreift Iech an

Ënnerstëtzt eis

Maacht en don