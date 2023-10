Cette année, plus d’un quart de la population américaine a vu ses données de santé exposées à des failles de sécurité, avec une augmentation des attaques de ransomwares et d’autres efforts de piratage affectant près de 87 millions de patients. selon la société de sécurité Internet Atlas VPN. Les données de plus de 45 millions de patients ont été compromises au cours du seul troisième trimestre 2023, contre 37 millions de patients touchés pour l’ensemble de 2022.

Les entreprises de soins de santé doivent alerter le ministère américain de la Santé et des Services sociaux. violations de données de santé qui touchent 500 personnes ou plus. Conformément aux chiffres de population, les États les plus touchés en 2023 jusqu’à présent sont la Californie et New York, qui comptent respectivement 43 et 42 violations signalées. Le Texas, le Massachusetts et la Pennsylvanie ferment les cinq premiers de la liste. Le Vermont a été le seul État à éviter toute attaque jusqu’à présent cette année.

Pourquoi les pirates informatiques ciblent-ils les hôpitaux ?

Le secteur de la santé est un cible de grande valeur pour les cybercriminels puisqu’il héberge des données à forte rentabilité sur le dark web. Organisations de santé américaines n’en consacrerait que 6 % de leurs budgets informatiques à la cybersécurité.

Sur les 480 violations signalées au cours des trois premiers trimestres de 2023, contre 373 cas au total signalés pour l’ensemble de l’année dernière, le plus large impliquait l’exploitant d’hôpitaux et de cliniques HCA Healthcare, dans lequel des pirates informatiques ont volé les données de 11 millions de patients. En termes de taille, cela a été suivi par une brèche sur Managed Care of North America, où les pirates ont accédé aux données de 8,9 millions de patients dentaires.

Le Bureau des droits civils du ministère américain de la Santé et des Services sociaux a actuellement 898 cas de violation faisant l’objet d’une enquête, qui ont été signalés au cours des deux dernières années. Article 13402(e)(4) du Loi HITECH exige que le secrétaire de l’agence publie publiquement une liste des violations d’informations de santé protégées non sécurisées affectant 500 personnes ou plus.

Dans une incident de cyberattaque en août, dans un hôpital géré par Prospect Medical Holdings, basé en Californie, les systèmes informatiques ont été interrompus à travers les États-Unis, obligeant les services d’urgence et les unités de soins intensifs à fermer leurs portes. cinq états à fermer.

Le coût de la violation des données des patients augmente

Un rapport IBM publié en juillet indique que le coût moyen des violations de données dans l’économie mondiale a atteint 4,45 millions de dollars cette année, soit une augmentation de 15 % au cours des trois dernières années. Les coûts de détection et d’escalade, qui représentent la plus grande partie des coûts des violations, ont grimpé de 42 % au cours de la même période.

Dans le secteur de la santé, le coût moyen d’une violation a augmenté de 8 % pour atteindre un montant record de 10,9 millions de dollars, selon IBM. Lors de l’incident du MCNA, par exemple, les pirates ont exigé une rançon de 10 millions de dollars.

Dans la plupart de ces violations signalées, les entreprises ont mis du temps à se renseigner sur les infiltrations. La brèche sur MCNA s’est produite le 26 février de cette année, mais n’a été découverte que le 4 mars. Rapport de sécurité IBM indique un écart de détection important, avec seulement un tiers des violations détectées par les mesures de sécurité d’une entreprise, 27 % étant divulguées par l’attaquant et 40 % étant identifiées par un tiers neutre.