Faille de sécurité SIAO : l'Anas alerte et saisit la Cnil


Alors que de plus en plus de projets d'informatisation de l'action sociale voient le jour, l'ANAS a été alertée par des travailleurs sociaux parisiens indiquant qu'ils avaient un accès complet à l'ensemble des dossiers de demande d'hébergement saisies sur la plateforme du SIAO 75 (Service Intégré d’Accueil et d’Orientation), y compris les évaluations sociales. Après vérification, nous avons immédiatement saisi la direction du SIAO 75 ainsi que la Commission Nationale Informatique et Libertés pour qu’ils remédient rapidement à cette faille majeure.



Autres articles
Le Service Intégré d’Accueil et d’Orientation (SIAO) Insertion de Paris est l'organisme en charge de la centralisation et de la gestion des demandes d'hébergement et de logement des personnes en exprimant le besoin auprès d'un travailleur social. Ce service utilise depuis 2013 un logiciel permettant de transmettre en ligne les demandes des personnes [1]. Par l'intermédiaire du site internet https://siao75.fr, les travailleurs sociaux doivent faire remonter ces informations personnelles et couvertes par le secret professionnel. Le traitement a été autorisé par la CNIL en novembre 2012 [2], y compris les mesures de sécurité.
 
Fin décembre 2015, l'ANAS a été alertée par des utilisateurs ayant découvert qu'il leur était possible d'accéder à l'ensemble des données saisies sur la plateforme depuis 2013, soit près de 37 000 dossiers. L'association a alors constaté qu'après une inscription sur le site avec n'importe quelle adresse mail – professionnelle ou non – et la saisie de l'adresse web d'un dossier, il était possible, en modifiant l'adresse consultée, d'accéder à chaque dossier ainsi qu'au formulaire d'édition des dossiers. Immédiatement, par un courrier du 24 décembre 2015, l'ANAS a alerté la direction du SIAO ainsi que la Commission Nationale Informatique et Libertés pour violation de l'article 34 de la Loi Informatique et Libertés [3] relatif à l'obligation de sécurité incombant au responsable du traitement. La CNIL a accusé réception du courrier et indiqué qu'elle transmettait à son service des plaintes.
 
Par un courrier en date du 04 janvier 2016, le directeur du SIAO a répondu à notre courrier en indiquant que la faille avait été sécurisée. Il ne répond par contre que partiellement à notre interrogation sur l'identité des personnes inscrites sur la plateforme en répondant que « rien ne prévoit dans la loi N°2014-366 du 24 mars 2014 [...] que les personnes qui portent la demande auprès du SIAO soient des salariés diplômés d'État ». Or, au vu de la faille de sécurité, la question que se pose l'ANAS n’est pas de savoir si les personnes sont titulaires d'un diplôme d’État mais plutôt le fait que toute personne puisse obtenir des identifiants et mots de passe sur cette plateforme. L'ANAS persiste donc à s'interroger sur les raisons pour lesquelles il est possible de pouvoir s'inscrire sur cette plateforme sans plus de vérification.
 
Le 9 janvier 2016, l'ANAS a pu constater qu'il n'était plus possible d'accéder aux données personnelles en saisissant arbitrairement les adresses web des dossiers. Après un délai raisonnable permettant au SIAO de réagir ainsi que de sécuriser son infrastructure contre l'utilisation éventuelle de cette faille par des pirates informatiques, elle souhaite rendre cette information publique.
 
Pour Anne-Brigitte COSSON, Présidente de l'ANAS : « Cette situation nous interroge sur les mesures de sécurité prévues dans les systèmes informatiques des services sociaux ainsi que sur les conséquences de telles failles de sécurité pour la vie privée des personnes accompagnées par ces services ». En effet, les dossiers contiennent de très nombreuses informations personnelles [4]. Or à ce jour, il semble impossible de dire durant combien de temps il a été possible d'accéder aux données de la sorte, ni si ces données ont pu être compromises.
 
De façon plus générale, au vu des baisses budgétaires dans le secteur social, l'ANAS s'inquiète sur les moyens qui sont et seront alloués à la sécurité des solutions informatiques de gestion des fichiers sociaux. Par ailleurs, le projet de « pack social », lancé par la CNIL en 2014 pour simplifier les demandes, risque de revoir la protection des données personnelles à la baisse. Les données saisies dans ces logiciels sont pourtant particulièrement sensibles, elles contiennent de nombreuses informations confidentielles sur la vie privée des personnes amenées à rencontrer les services sociaux. Or, les mesures de sécurité doivent pouvoir garantir aux personnes le plus haut niveau technique de protection possible ainsi que le minimum d'accès possible dans leur partage. Ainsi, dans le secteur de la santé et face au risque croissant d'attaques informatiques, la sécurité du système informatique fait dorénavant partie des éléments évalués dans le cadre de la certification des établissements.
 
L'ANAS rappelle à ses adhérents et à tous les travailleurs sociaux la nécessité de supprimer les fiches, fichiers, dossiers, informatique et papier dès que possible et dans des délais raisonnables. Elle recommande de chiffrer, c'est-à-dire de « crypter », l'ensemble des données relatives aux personnes, afin d'éviter qu'une faille informatique permette à n'importe qui d'y accéder.
 
 
 
Le Conseil d’Administration de l’ANAS
Le 17 mars 2016
 
 
 
 
Rappel : La CNIL recommande aux travailleurs sociaux l'échange d'informations par l'utilisation de méthodes de chiffrement. Cf. CNIL, Guide Sécurité des données personnelles, Fiches 14 et 17, CNIL, 2010 : https://www.cnil.fr/sites/default/files/typo/document/Guide_securite-VD.pdf
 
[2] Délibération n° 2012-423 du 29 novembre 2012 autorisant le Groupement de Coopération Sociale et Médico-sociale (GCSM) SIAO 75 à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité l’orientation et la prise en charge des personnes sans abri ou risquant de l’être, disponible sur http://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000026915601
[3] Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés - Article 34, disponible sur https://www.legifrance.gouv.fr/affichTexteArticle.do?idArticle=LEGIARTI000006528132&cidTexte=LEGITEXT000006068624
[4] Voir le contenu des informations dans l'annexe IV en PJ de la circulaire DGCS/USH/2010/252 du 7 juillet 2010, disponible en intégralité sur http://social-sante.gouv.fr/fichiers/bo/2010/10-09/ste_20100009_0100_0058.pdf (7 dernières pages) 




 

communiqué faille siao.pdf  (517.37 Ko)




Le 21 mars 2016, le SIAO 75 nous a fait parvenir un droit de réponse relatif à ce communiqué : 

 

Communiqué de l’ANAS : Droit de réponse du SIAO 75



Dans un communiqué en date du 17 Mars 2016, suite à une défaillance détectée sur notre système d’information permettant à une intention malveillante de forcer son accès, l’ANAS souhaite soulever la question de la sécurité des systèmes informatiques de plus en plus incontournables pour les travailleurs sociaux.


Qu’il n’y ait aucun doute à ce sujet, il est clair pour nous que les systèmes d’information doivent présenter la plus haute garantie de sécurité, tant pour la protection des personnes que pour nous prémunir collectivement de l’élaboration possible d’un « fichier des pauvres » stigmatisant, alors même qu’il s’agit de personnes qui ont le plus besoin de notre solidarité. Telle est l’importance de l’enjeu qui pourrait mettre en péril notre pacte social, contraire à tous nos engagements de groupement associatif. Il faut donc remercier l’ANAS de son alerte et faire preuve de la plus grande vigilance, le pire pouvant être devant nous.


Concernant le second point évoqué, c’est-à-dire celui de la vérification de l’identité du demandeur, la question nous parait des plus complexes et mérite, si ce n’est un débat, une réflexion approfondie.


Il est important de rappeler qu’une demande ne vaut pas acceptation et qu’en l’espèce, le SIAO présente une double sécurité. En effet, le centre d’hébergement doit prendre attache avec le travailleur social, et la rencontre avec les personnes concernées dans le cadre des procédures d’admission reste le moment clé de l’entrée dans l’établissement ou le logement.


Dans le système d’information national SI-SIAO que nous allons utiliser dans les prochains mois, c’est un administrateur du réseau, fonctionnaire d’Etat, qui donne les habilitations aux services sociaux et à leurs personnels pour faire une demande d’aide sociale à l’hébergement ou une demande de logement accompagné via le SIAO.


Cette procédure est assurément plus simple, mais au moment où nous discutons des référents de parcours, les choix de la personne accompagnée peuvent s’en trouver restreints. Pour aller au bout de cette réflexion, il convient aussi de s’interroger sur un formatage particulier de l’engagement associatif qui doit être questionné par l’ensemble des acteurs sociaux au-delà de la légitimité des corps professionnels constitués.


Patrick ROUYER Directeur du SIAO 75

GCMS SIAO Insertion 75
42 rue des Jeuneurs
75002 Paris

Tel : 01 83 97 66 81 

 

Communiqué de l'ANAS - Droit de réponse du SIAO 75 - 21 mars 2016.pdf  (196.47 Ko)


Mercredi 23 Mars 2016

Dans la même rubrique :