La CMIM est-elle en mode «bunker» depuis notre révélation d’une faille de sécurité donnant accès aux données sensibles (notamment les données de santé) de plus de 115 000 adhérents et ayants droit ? Impossible de joindre l’entreprise au standard, ni le responsable que nous avions contacté auparavant. L’heure semble dédiée à la gestion de la crise informatique, la communication passant à la trappe.
Notre appel visait pourtant à faire le point sur la correction de la faille telle que nous l’avons constatée. Ainsi, le répertoire des fichiers de logs librement accessibles sur leur serveur et qui contiennent les mots de passe et email de chaque adhérent qui s’est connecté, a été rendu inaccessible.
Mais la CMIM n’est toujours pas sortie du pétrin. En attendant de s’assurer que le système est de nouveau sécurisé, le service informatique a tout simplement coupé l’accès à l’espace destiné aux adhérents sur le site internet. Ils devront tout simplement attendre une durée indéterminée (en plus des 3 semaines écoulées) s’ils veulent consulter leurs dossiers de remboursement de soins.
Les adhérents privés d'information et d'accès
Comment expliquer ce passage d’un extrême (toutes les données personnelles en libre accès) à un autre (aucune donnée accessible pour le propriétaire) ? La fébrilité dans laquelle se trouve la CMIM après les appels des entreprises adhérentes peut expliquer cet embargo. A moins qu’il s’agisse de gagner du temps avant de devoir alerter chaque adhérent d’une exposition publique des données personnelles et surtout de santé par la faute de la CMIM. Selon nos informations, les adhérents n’ont toujours pas été notifiés de la faille, ni par voie de presse, ni par courrier électronique ou postal.
Nous avons tentés de relancer la CMIM à plusieurs reprises sur le sujet, en vain. Ce lundi, après avoir obtenu le numéro personnel du Directeur général, nous lui avons posé nos questions sur le sujet. Saïd Ghabri, qui a semble-t-il pris nos révélations pour une attaque personnelle, n’a pas voulu répondre. «Je ne répondrais que si vous venez en personne au bureau, en présentant votre CIN (carte d’identité nationale, ndlr), votre carte de presse et un écrit, pour ainsi respecter les règles de l’art», a-t-il exigé auprès de notre collègue journaliste l’ayant appelé cet après-midi.
Dans une inversion accusatoire, il a reproché à Yabiladi de ne pas l’avoir contacté au préalable avant d’écrire l’article révélant la faille. Pour rappel, nous avions tenté de joindre la CMIM deux semaines durant, en vain. Seul le responsable qualité avait bien voulu répondre à nos questions, balayant d’un revers de la main toute faille de sécurité.
Face à nos questions précises, Saïd Ghabri a préféré digresser sur l’attaque d’une «entreprise sociale», dont nous nous serions rendus coupables. «Vous vous êtes attaqués à une entreprise qui, chaque jours, aide les gens à se soigner. Je traite des cancéreux, des dialysés, des handicapés, chaque jour et chaque minute...», a-t-il déclaré, oubliant que ce sont les données de santé de ces mêmes malades et personnes atteintes de cancer qu’il a laissé en libre accès, malgré nos appels, et jusqu’à la publication de notre article.