Alors que l’actualité relative aux soins de santé en 2020 a été dominée par les titres concernant la pandémie du COVID-19, un autre sujet inquiétant est passé inaperçu pour beaucoup d’entre nous.
Selon le bureau des droits civils du ministère américain de la santé et des services sociaux, plus de fuites importantes de données médicales ont été signalées en 2020 qu’au cours des années précédentes.
Selon le rapport « 2020 Threat Landscape Report », la plus grande violation de données qui a impliqué la fuite de 22 milliards d’enregistrements de données personnelles en 2020 est imputable au secteur de la santé.
Par ailleurs, un article publié dans le journal HIPAA en janvier 2021 indique que nous ne parvenons pas à aplanir la courbe en matière de fuites de données :
- Plus de 29 millions de dossiers médicaux ont été violés en 2020.
- Les fuites de données liées aux soins de santé se sont produites à un taux de 1,76 par jour au cours de l’année.
- Le nombre de fuites de données liées aux soins de santé a augmenté de 25 % d’une année sur l’autre.
- 642 fuites de données liées aux soins de santé de 500 enregistrements ou plus ont été signalées en 2020.
- Une brèche concernait à elle seule plus de 10 millions d’enregistrements, tandis que 63 brèches ont porté sur plus de 100 000 enregistrements.
L’histoire cumulative n’est pas meilleure :
- Le nombre de fuites de données de santé a doublé depuis 2014 et triplé depuis 2010.
- Plus de 3 700 fuites de 500 enregistrements ou plus ont été signalées depuis octobre 2009, le nombre total d’enregistrements exposés s’élevant à plus de 64 millions d’euros.
La tendance est également à la hausse pour 2021. Au total, 56 fuites ont été signalées au cours des deux premiers mois de l’année seulement.
Causes des fuites de données
Les fuites de données résultent de trois facteurs principaux :
- Les cyberattaques, le piratage et les incidents informatiques impliquant une activité malveillante qui est souvent attribuable aux mesures de sécurité informatique inappropriées.
- La divulgation non autorisée des données dans laquelle des informations personnelles sur la santé sont partagées par des parties ou des systèmes internes.
- La perte ou le vol des dispositifs d’extrémité.
La société de technologie de l’information Bitglass a déclaré que plus de 67 % de toutes les fuites de la sécurité des établissements de soins et de santé étaient le résultat de cyberattaques, de piratages et d’incidents informatiques et 22 % d’entre elles étaient attribuées à une divulgation non autorisée.
Lorsque les méthodologies d’attaque ont été analysées, 55 % de toutes les fuites de données des établissements de santé impliquaient des attaques de ransomware, les attaques de phishing arrivant en deuxième position (21 %). La non-sécurisation des bases de données arrive loin derrière.
Quelques organisations ayant été victimes de fuites de données
Ce n’est pas seulement le nombre de fuites qui est alarmant, c’est aussi leur ampleur. Parmi les fuites les plus importantes de données de santé, on peut citer celle qui a été menée contre Dental Care Alliance.
L’attaque a été détectée le 11 octobre de l’année dernière, impliquant le vol de numéros de cartes de paiement de plus d’un million de patients. Les attaquants ont eu accès aux systèmes de données de Dental Care Alliance le 18 septembre, mais l’attaque n’a été corrigée que le 13 octobre.
Outre les informations relatives aux cartes de paiement, les escrocs ont pu voler les noms et les coordonnées des patients, ainsi que des informations médicales et des données d’assurance. Les patients ont été informés de l’attaque au début du mois de décembre et on estime que 10 % d’entre eux ont ensuite signalé une violation de leurs numéros de compte.
Une autre attaque à grande échelle a été signalée par le Florida Orthopedic Institute le 9 avril 2020, qui pourrait avoir compromis les informations de santé personnelles de plus de 640 000 patients. Il s’agissait d’une attaque de ransomware.
Si l’informatique interne a pu restaurer entièrement les données chiffrées par les pirates, une enquête a montré que les données ont potentiellement été exfiltrées juste avant leur chiffrement.
Celles-ci comprenaient des noms de patients, des dates de naissance, des numéros de sécurité sociale et des informations médicales sensibles. Un recours collectif a ensuite été intenté à l’encontre du Florida Orthopedic Institute.
L’année dernière a également montré que les informations personnelles des patients peuvent encore être compromises grâce à des méthodes de piratage à l’ancienne.
Le vol d’un seul ordinateur portable appartenant à un fournisseur de services de transport utilisé par une société de l’Oregon appelée Health Share aurait pu causer la compromission des informations d’environ 654 000 patients.
Au moment de la publication du rapport, on ignorait si les données étaient chiffrées ou non. Les données potentiellement compromises comprenaient les numéros d’identification Medicaid ainsi que les noms, les coordonnées et les antécédents médicaux des patients concernés.
Pourquoi les cyberattaques sont-elles en hausse dans le secteur de la santé ?
De nombreuses raisons expliquent l’augmentation du nombre d’attaques cybercriminelles au cours des 14 derniers mois.
Comme dans de nombreux autres secteurs, la transition spectaculaire vers la mise en œuvre du travail à distance et la distraction des dirigeants des organisations de soins de santé — résultant de la peur du COVID-19 et du besoin d’informations concernant la pandémie — y ont largement contribué.
Force est toutefois de constater que la principale cause de l’augmentation des cyberattaques dans le secteur de la santé est tout simplement l’argent. Les dossiers des patients valent beaucoup d’argent sur le marché libre en raison des informations élaborées qu’ils contiennent.
Alors que les numéros de carte de crédit ne rapportent que quelques euros chacun, les informations sur les patients peuvent rapporter plus de 124 euros par dossier. Malheureusement, l’année dernière, un dossier compromis coûtait environ 410 euros à l’organisation victime d’une attaque, soit une augmentation de 16 % par rapport à l’année précédente.
Pour toutes ces raisons, les organismes de santé ont donc l’obligation de protéger les données de leurs patients contre d’éventuelles fuites de données.
TitanHQ peut les aider en leur proposant une solution pour empêcher les cybercriminels d’accéder à leurs données sensibles. Contactez TitanHQ dès aujourd’hui et découvrez comment nos solutions primées protégeront votre organisation et vos patients.