Centre de santé communautaire dévoile une massive fuite de données patients.
getty
Mise à jour, 2 février 2025 : Cet article, initialement publié le 31 janvier, inclut désormais des commentaires d’experts sur les défis de cybersécurité auxquels font face les prestataires de santé suite à cette récente fuite de dossiers médicaux et à une attaque par ransomware contre un grand groupe de donneurs de sang à New York.
Avec les attaques par ransomware atteignant des chiffres record et plus d’un milliard de mots de passe volés proposés à la vente sur le dark web, je suis toujours étonné qu’il n’y ait pas plus de fuites de données, pour être honnête. Cela ne rend cependant pas moins choquant le fait qu’un fournisseur de santé révèle que les dossiers médicaux d’un million de patients ont été compromis. Voici ce que nous savons sur cet incident de sécurité au Centre de Santé Communautaire.
Plus d’un million de dossiers médicaux volés
Dans un dépôt du 30 janvier auprès du Bureau du Procureur Général du Maine, le prestataire de santé basé au Connecticut, Community Health Center, a divulgué qu’une fuite de données, d’abord découverte le 2 janvier, a affecté plus d’un million de patients suite à une attaque réussie d’acteurs de menaces inconnus ayant accédé à ses réseaux.
Dans une lettre adressée aux patients concernés, que j’ai pu consulter, Mark Masselli, président et directeur général du Community Health Center, Inc., a déclaré que les enquêteurs avaient déterminé qu’«un hacker criminel expérimenté est parvenu à pénétrer notre système et à emporter certaines données, qui pourraient inclure vos informations personnelles.» Il ne semble pas que cela ait été une attaque par ransomware, puisque Masselli a indiqué qu’aucune donnée n’avait été supprimée ou encryptée, et que le piratage n’avait pas eu d’impact sur les opérations de santé. «Nous pensons avoir stoppé l’accès du hacker criminel en quelques heures», a déclaré Masselli, «et qu’il n’y a actuellement aucune menace pour nos systèmes.»
Cependant, il existe un petit problème concernant les fichiers volés : des fichiers contenant «les informations personnelles et de santé de 1 060 936 individus». Les données dérobées comprendraient :
- Noms des patients
- Dates de naissance
- Informations de contact
- Nombres de sécurité sociale
- Diagnostiques médicaux
- Détails des traitements
- Résultats des tests
- Détails de l’assurance santé
Un cauchemar pour les dossiers médicaux
«Cet incident met en lumière l’urgence de sécuriser les infrastructures de santé – protégeant non seulement les données des patients, mais aussi l’écosystème plus large de communication, collaboration et de fourniture de soins», a déclaré Emily Phelps, directrice chez Cyware. «Les incidents dans ce secteur soulignent les risques persistants auxquels les prestataires de santé sont confrontés, avec des attaquants accédant à des données sensibles comme les noms, les diagnostiques médicaux et les détails d’assurance.»
Bien que l’attaque contre le Community Health Center ne soit pas considérée comme liée à un ransomware, il en va autrement du récent piratage dans le secteur de la santé. Comme je l’ai rapporté le 1er février, le Centre de Sang de New York a été victime de hackers utilisant des ransomwares, interférant avec le processus de dons de sang d’un grand fournisseur à 200 hôpitaux, avec toutes les conséquences possibles d’une telle action irresponsable.
Dr. Ilia Kolochenko, PDG d’ImmuniWeb et membre de la British Computer Society, m’a expliqué que la santé sera probablement la cible la plus désirable pour les groupes de ransomware en 2025 pour trois raisons clés. D’abord, le financement : la plupart des organisations de santé «survivent principalement grâce aux subventions gouvernementales ou aux dons de charité», a déclaré Kolochenko. Ce qui fait des institutions de santé une cible facile pour les cybercriminels peu scrupuleux, qui sont réticents à investir beaucoup de temps et d’efforts pour compromettre les défenses complexes d’institutions financières riches, par exemple. Ensuite, le facteur de vulnérabilité lié à la nature même de leur activité, où la vie humaine prime sur l’argent. «Sachant cela», a précisé Kolochenko, «les groupes de ransomware commencent généralement par une demande de rançon à six ou même sept chiffres, puis la réduisent considérablement à un montant que la victime peut payer, croyant naïvement qu’elle a fait une bonne affaire.» Enfin, les prestataires de santé gèrent des données très sensibles concernant des politiciens, des célébrités et des dirigeants riches, «rendant les attaques contre le secteur de la santé exceptionnellement lucratives par rapport à la plupart des autres secteurs», a conclu Kolochenko.
En attendant, Masselli a indiqué que le Community Health Center avait «renforcé notre sécurité et ajouté un logiciel spécial pour surveiller l’activité suspecte», bien que cela n’apporte pas beaucoup de réconfort aux patients dont les dossiers médicaux ont été compromis. Étant donné que l’attaquant a également accès aux noms, dates de naissance et détails d’assurance santé, cela pourrait devenir un cauchemar d’extorsion en attente de se déployer.
Bon à savoir
- Les entreprises de santé investissent de plus en plus dans la cybersécurité pour lutter contre les risques d’attaques.
- Les données de santé sont considérées comme l’une des cibles les plus lucratives pour les cybercriminels, en raison de leur valeur et de leur sensibilité.
- Les attaques par ransomware peuvent entraîner des pertes de données, mais aussi des perturbations sur le fonctionnement des services de santé vitaux.
Cette situation soulève des questions importantes sur la sécurité des données dans le secteur de la santé. Dans un monde où les cybermenaces sont omniprésentes, comment les prestataires de santé peuvent-ils mieux protéger les informations sensibles de leurs patients ? Le débat est ouvert et il sera intéressant de voir comment les institutions évolueront face à ces défis.
Cette situation m’inquiète, comme un vase fragile. La sécurité des données de santé demande une attention délicate et une créativité dans les solutions pour protéger nos précieux souvenirs.