Incident de sécurité concernant les données de nos adhérents
Nous demandons à nos adhérents de procéder comme suit pour leurs demandes de rendez-vous de suivi individuel :
- Utilisez le formulaire téléchargeable sur notre site internet.
- Renseignez les informations concernant le salarié et son poste de travail.
- Précisez le type de visite demandé.
- Envoyer le formulaire de demande dûment rempli par mail à l'adresse habituelle du secrétariat médical de votre médecin du travail. Cette adresse mail et le process décrit ici a été reprécisé à chaque adhérent par un mail direct envoyé ce jour.
Pour un traitement plus rapide dans le contexte, nous vous remercions de privilégier l'envoi d'un mail au secrétariat médical qui vous accompagne.
Fil d'info
Jeudi 18/06 • 16h
—
À la suite des différentes sollicitations des adhérents et de leurs salariés, le SSTRN souhaite apporter les éléments d’information suivants concernant l’incident de sécurité en cours.
- Le SSTRN agit en qualité de responsable de traitement des données traitées via le portail adhérent. À ce titre, il assume l’ensemble des obligations réglementaires découlant de cet incident.
- Sont potentiellement concernés l’ensemble des adhérents suivis de 2020 à 2026, ainsi que les salariés pour lesquels des informations ont été transmises sur ce portail dans le cadre de l’adhésion ou pour réaliser une demande de visite.
- Sont concernés les données de nature administrative et de contact (nom, prénom, adresse e-mail, numéro de téléphone), l’historique des rendez-vous (type de consultation, statut, motif d’absence), des informations sur le centre médical de rattachement et le nom de l’entreprise employeuse.
- L’incident ne concerne pas les données médicales (éléments médicaux type compte rendu médical, résultat d’examen, prescription).
- Une déclaration initiale auprès de la CNIL a été effectuée le 17/06/2026 sous le numéro FR2606170900001.
- Une première analyse de risque, réalisée dans le cadre de cette déclaration, conclut à l’existence d’un risque, sans toutefois le qualifier de « élevé », notamment en raison de l’absence de données sensibles (aucune donnée de santé n’a été compromise).
- Une analyse de risque approfondie est actuellement en cours afin de confirmer ou d’ajuster cette évaluation. Des mesures complémentaires seront mises en œuvre si nécessaire.
Le SSTRN a d’ores et déjà appliqué les mesures suivantes :
- Suspension de l’accès au portail à compter du lundi suivant la détection de l’incident.
- Analyse technique, identification de la nature et de l’origine de l’attaque (type IDOR) et correction de la faille.
- Reconstruction du portail dans un environnement sécurisé et mis à jour intégrant un niveau upgradé de sécurité.
Dans les prochains jours, le SSTRN mettra en œuvre les actions suivantes :
- Réalisation d’un audit de sécurité (de type pentest) visant à corriger la faille de sécurité et à identifier d'autres vulnérabilités potentielles du portail adhérent.
- Étude et renforcement des dispositifs de sécurité avant la remise en service du portail.
Un dépôt de plainte est également en cours de finalisation.
Dans le contexte de cet incident, il est rappelé à l’ensemble des utilisateurs de faire preuve de la plus grande vigilance face aux tentatives de fraude, notamment par e-mail ou par téléphone.
Des messages ou appels frauduleux peuvent être utilisés pour tenter d’obtenir des informations personnelles ou professionnelles en se faisant passer pour des organismes officiels.
Il est recommandé :
- Adhérents : d’informer vos salariés en rappelant que le SSTRN ne demande jamais d’information bancaire ni de mot de passe par téléphone ou mail.
- Pour vos salariés : informer les qu’ils doivent considérer que leurs coordonnées et historique de rendez-vous ont été diffusés. Et les appeler à rester vigilant à toute sollicitation, puisque la combinaison du nom + employeur + centre médical » est un moyen important pour un phishing.
Enfin nous rappelons qu’il ne faut jamais communiquer de mots de passe, codes de sécurité ou informations sensibles par téléphone ou e-mail ; vérifier systématiquement l’identité de l’interlocuteur en cas de doute ; ne pas cliquer sur des liens ou pièces jointes suspects.
Vous êtes invités à signaler tout message ou appel inhabituel aux services compétents du SSTRN.
Le SSTRN reste pleinement mobilisé pour assurer la sécurité des données et la continuité de ses services, et vous informera de toute évolution significative de la situation.
Pour toute question : dpo@sstrn.fr
Mercredi 17/06 • 17h
—
Notre phase d'investigation se poursuit, ainsi que la mise en œuvre des correctifs pour assurer la sécurité de notre portail adhérents et envisager sa remise en route rapide.
Plusieurs organismes de la région ont été également attaqués ces derniers jours, tous avec la même technique d'intrusion. L'attaque a été rendue possible pour les hackers par l'utilisation de comptes adhérents (identifiant et mot de passe) qui ont été volés ailleurs, permettant l'entrée dans notre système et ainsi l'exploitation de failles de plus haut niveau.
Nous travaillons évidemment à l'amélioration de la sécurité de nos outils et nous pourrons rendre de nouveau disponible notre portail adhérents quand nous aurons mis en place tous les correctifs utiles.
Pour rappel, aucune donnée à caractère médical n'a été dérobée lors de cette attaque.
Mardi 16/06 • 17h
—
Nous sommes actuellement en phase d’investigation, nos équipes et nos partenaires sont pleinement mobilisées sur le sujet. Pour le moment, nous pouvons confirmer que le SSTRN a été victime d’une cyberattaque ayant pour objet l’exfiltration de données.
Sont concernées : les données administratives (type mail, téléphone), ainsi que des données liées à la gestion administrative du suivi des salariés (type : nom prénom, date de visite, type de visite (embauche, périodique). Les personnes concernées sont les personnes contact des entreprises adhérentes, les salariés déclarés par les adhérents.
Les investigations confirment aussi que ne sont concernées que les données présentes sur le portail adhérent, ce qui exclut de fait le contenu des dossiers médicaux. Aucune donnée de santé n’a été exfiltrée lors de cette attaque.
Les autorités compétentes ont été saisies et les procédures administratives et juridiques afférentes à ce type d'incident sont également en cours. Nous reviendrons vers vous dès que nous aurons plus d’informations à vous communiquer.
Lundi 15/06 • 14h
—
À ce stade, nos investigations sont toujours en cours afin de déterminer précisément la nature de l’incident, les données potentiellement concernées ainsi que l’étendue des personnes impactées.
Ce que nous savons :
- Les informations potentiellement concernées à ce jour pourraient inclure : coordonnées, informations administratives, données d’adhésion, informations relatives aux types de visites de vos salariés.
- L'incident ne porte pas sur les données des dossiers médicaux en santé travail.
Par mesure de précaution, il est recommandé de rester vigilant face à tout message ou appel inhabituel demandant des informations personnelles venant notamment du SSTRN, et de ne pas communiquer vos identifiants ou mots de passe en réponse à une sollicitation inattendue, quelle qu’elle soit. Les employeurs sont invités à transmettre cette information à leurs salariés afin qu'ils adoptent également ces précautions.
Nous vous tiendrons informés de l’avancement de nos analyses et des éventuelles mesures complémentaires qui seront prises.
Nous regrettons vivement cette situation et le SSTRN présente toutes ses excuses pour cet incident. La protection des données de nos adhérents et de leurs salariés constitue une priorité et nous mettons tout en œuvre pour renforcer encore la sécurité de nos dispositifs.