Une erreur « honnête » a révélé une multitude d'informations sensibles
La grande image : Le secteur de la santé est devenu une cible lucrative pour les cybercriminels, compte tenu de l’abondance de données exploitables et des mesures de cybersécurité souvent inadaptées affectant de nombreux prestataires. Ascension, qui gère 118 hôpitaux et des centaines d’autres établissements dans tout le pays, n’était manifestement pas préparée à une attaque de cette ampleur, malgré sa taille et ses ressources.
Dans un document déposé auprès du bureau du procureur général du Maine et publié le 20 décembre, le géant américain de la santé a révélé que 5,6 millions de personnes avaient vu leurs données personnelles et médicales exposées lors d'une cyberattaque plus tôt cette année.
Selon Ascension, la violation s'est produite le 29 février mais n'a été détectée que le 8 mai. L'attaque a potentiellement permis aux pirates informatiques d'accéder à une multitude d'informations sensibles, notamment des détails de paiement, des informations sur l'assurance, des numéros de sécurité sociale, des adresses et des dates de naissance. Bien qu'Ascension ait déclaré qu'aucune preuve ne suggère que les dossiers de santé électroniques des patients ont été directement compromis, l'ampleur de la violation reste alarmante.
Quant à la façon dont un énorme système de santé a été victime d’un piratage aussi grave, cela se résume à une erreur classique : un employé a accidentellement téléchargé un fichier malveillant déguisé en légitime. Le prestataire de soins a admis en juin qu'il s'agissait d'une « erreur honnête ».
La cyberattaque a contraint Ascension à reporter des interventions chirurgicales et des rendez-vous dans certains établissements, tandis que d'autres ont dû refuser les ambulances. Les patients ont connu de longs délais d'attente et plusieurs établissements n'ont pas eu accès aux dossiers électroniques pendant des semaines après la violation. L’entreprise affirme désormais qu’elle s’efforce de reprogrammer les procédures retardées et de reprendre pied.
L’impact financier a également été important. Ascension a signalé une baisse de 8 à 12 % du volume de patients en mai et juin par rapport à 2023, attribuant cette baisse directement aux perturbations causées par l'attaque.
Pour aggraver la situation, la violation a suivi de près la cyberattaque sans précédent de Change Healthcare, qui a compromis les données de plus de 100 millions d'Américains plus tôt en 2024. Cet incident, considéré comme le piratage de soins de santé le plus dommageable de l'histoire des États-Unis, a également eu un impact sur Ascension.
En réponse à ces deux violations majeures, Ascension affirme avoir diversifié ses centres d'échange de réclamations pour « mieux se protéger contre de futurs incidents ».
Cette violation constitue le sixième incident de données de santé le plus important jamais signalé en termes de nombre de personnes touchées.
Les attaques de ransomwares, en général, sont en augmentation, et 2024 s’annonce comme une nouvelle année record. Ils deviennent également de plus en plus coûteux. Un rapport récent indique que le paiement médian de la rançon a atteint 2,54 millions de dollars l'année dernière, soit 41 fois plus que le montant médian de 62 500 dollars de l'année précédente.
