Les violations de données dans le secteur de la santé continuent de se propager à des taux alarmants

Les données dont sont garants les établissements de santé et leurs associés sont régies par une myriade de réglementations locales et nationales. Aux États-Unis, la plus exhaustive d'entre elles est le règlement HIPAA Omnibus de 2013 (« HIPAA »), qui a regroupé et modernisé les lois HIPAA et HITECH de 1996 et 2009, à la fois distinctes et étroitement liées. En effet, la législation souffrait jusque-là de lacunes dans les exigences de sécurité et les pénalités de non-conformité relatives aux dossiers médicaux et aux données associées.

La conséquence la plus visible de l'HIPAA est sans doute le fait que les violations de données liées au secteur de la santé font souvent la une des médias. Plus d'un milliard de dossiers appartenant à CVS Health ont été récemment exposés, dont certains contenaient des adresses e-mail de patients. CaptureRX a indiqué avoir fait l'objet d'une violation de données qui a exposé les données de plus de 1,6 million de patients dans 21 établissements de santé, mais d'autres rapports font état de plus de 1,9 million de patients et de 28 établissements. La violation dont a été victime Accellion a compromis 10 établissements de santé, touchant près de 3,47 millions de patients. Et la liste est encore longue. Bien que les violations de données se soient enchaînées tout au long de l'année, celles mentionnées ci-dessus sont les plus marquantes du mois.

5 autres voies d'attaque contre les établissements de santé

La plupart des grandes violations de données touchant le secteur de la santé sont classées dans la catégorie « Incidents informatiques/de piratage », mais il existe de nombreuses autres voies d'accès aux données :

L'élimination des actifs informatiques : il s'agit de l'un de ces éléments de gestion interne que de nombreuses entreprises négligent ou omettent de signaler aux parties concernées. À titre d'exemple, rappelez-vous l'incident de 2012 provoqué par un fournisseur qui avait jeté des dossiers de patients à la poubelle. Dans la plupart des cas, cependant, ces incidents résultent de programmes informatiques de recyclage qui ne prévoient rien pour préparer correctement les dispositifs de stockage. À noter que la CISA inclut désormais l'élimination des actifs informatiques dans son rapport intitulé « Defending Against Software Supply Chain Attacks » (Se protéger contre les attaques visant les chaînes logistiques logicielles).

La mauvaise configuration des applications : les applications qui ne sont pas correctement sécurisées peuvent être accessibles au public ou repérées par des bots malveillants à la recherche de cibles. CVS Health a exposé par inadvertance 1 milliard de dossiers au public via une base de données qui n'était pas protégée par mot de passe. Insight Global a exposé les dossiers de recherche de cas contacts COVID de plus de 72 000 Pennsylvaniens en négligeant les protocoles de sécurité prévus dans le contrat conclu avec le ministère de la Santé de l'État.

Le vol d'équipement : stocker des données sensibles sur un poste de travail est risqué, de même que sur un ordinateur portable que l'on laisse en toute impunité dans une voiture. Au Kansas (États-Unis), près de 52 076 patients d'un centre d'addictologie à but non lucratif ont été affectés lorsqu'un employé s'est fait dérober son ordinateur portable dans sa voiture. Les dossiers exposés comprenaient notamment des noms, des numéros de sécurité sociale ou encore des ordonnances. Un incident similaire dans l'Indiana (États-Unis) a quant à lui conduit à la divulgation de plus de 200 000 dossiers de patients selon les estimations.

Les erreurs des employés : tous les employés font des erreurs, mais certaines sont bien pires que d'autres. Ainsi, 91 000 dossiers de patients ont été exposés lorsqu'un employé du service Washington State Health Care Authority a demandé de l'aide concernant des feuilles de calcul contenant des informations de santé privées. Un autre employé d'Independence Blue Cross a accidentellement chargé 16 762 dossiers partiels de patients sur un site Web public. Enfin, un agent du ministère de la Santé du Wyoming a accidentellement transféré des données de tests COVID-19 concernant plus de 164 000 personnes sur le référentiel GitHub du ministère.

Autres : des employés du Radiology Regional Center ont récupéré plus de 483 000 dossiers médicaux papier près de Fowler Street à Fort Myers, en Floride (États-Unis).  Les dossiers en question étaient tombés d'un camion alors qu'ils étaient en route pour l'incinérateur. Lors d'un autre incident, des milliers de clients d'Aetna ont reçu une lettre par la poste concernant un changement de prestations, sauf que le statut VIH des destinataires était visible à travers la fenêtre de l'enveloppe.

Un enchaînement de violations de données record

Après avoir récemment passé à la loupe près des 10 ans d'archives, l'HIPAA Journal a constaté que les « incidents informatiques/de piratage » et les « incidents d'accès non autorisé/de divulgation » étaient actuellement les principales causes de violations de données dans le secteur de la santé. L'étude a également établi qu'entre 2009 et 2020, plus de 268 189 693 dossiers de santé avaient été exposés, et que le nombre moyen de violations par jour en 2020 était de 1,76. Il convient toutefois de noter que l'HIPAA Journal prend seulement en compte les violations de données touchant au moins 500 dossiers.

L'année 2020 a été marquée par un record en matière de violations de données dans le secteur de la santé, un phénomène qui se répète chaque année depuis 2009, à l'exception de 2015. Cela dit, 2015 l'emporte au nombre de dossiers exposés. Cette année-là, plus de 113,27 millions de dossiers ont été compromis, principalement en raison de trois violations massives contre des régimes de santé.

Le nombre de violations a continué d'augmenter en 2021. Entre le 1er janvier et le 31 mai, le nombre total de violations de données de santé aux États-Unis s'élevait à 264, pour un total de 17 722 372 dossiers. Depuis mars, le taux de signalement dépasse 2 par jour.

Si les ransomwares constituent une menace croissante, ils ne sont assurément pas les seuls à l'origine des pertes de données.  Voici trois éléments à prendre en compte dans l'évaluation de vos stratégies de conformité et de sécurité :

1. La sécurité des e-mails. Barracuda propose des technologies anti-phishing basées sur l'IA qui empêchent les attaques d'atteindre les boîtes de réception. Data Leak Protection interdit l'envoi de données critiques par e-mail à des personnes extérieures, tandis  qu'Email Threat Scanner pour Office 365 révèle les menaces qui se trouvent déjà dans vos boîtes de réception Office 365.


2. La protection des applications. Barracuda Web Application Firewall (WAF) et WAF-as-a-Service protègent vos applications Web contre les bots malveillants et les tentatives d'intrusion. L'outil gratuit Barracuda Vulnerability Manager et Remediation Service automatise les opérations de correction en fonction des vulnérabilités détectées lors de l'analyse. Veiller à ce que vos bases de données soient sécurisées et non accessibles au public est ainsi un véritable jeu d'enfant.


3. La protection des données. Barracuda Backup protège vos données où qu'elles se trouvent. Les données peuvent être répliquées vers un emplacement hors site, notamment un espace de stockage Barracuda illimité dans le cloud. La solution SaaS Barracuda Cloud-to-Cloud Backup protège les données Microsoft Teams, Exchange, SharePoint et OneDrive. Le configurateur de sauvegardes Barracuda vous permet de veiller à ce que toutes vos données soient couvertes.

Les technologies de cybersécurité et de protection des données ne peuvent rien contre des enveloppes postales mal conçues ou contre la chute de dossiers papier de camions.  Néanmoins, elles protègent les données contre le piratage, les intrusions et la plupart des pertes de données accidentelles.  Rendez-vous sur notre site Web et découvrez comment nous aidons des entreprises comme la vôtre à préserver leur sécurité et leur conformité.