Nous Contacter

Fuite de Données Médicales Chez ConnectOnCall

Imaginez appeler le secrétariat de votre médecin en dehors des heures d’ouverture pour une urgence, et découvrir plus tard que vos informations médicales confidentielles ont été dérobées lors de cet appel. C’est malheureusement ce qui est arrivé à près d’un million de patients dont les cabinets médicaux utilisaient le service ConnectOnCall pour gérer leurs appels en dehors des heures de bureau.

ConnectOnCall victime d’un piratage massif

ConnectOnCall, une filiale de la société de technologies de santé Phreesia, fournit un service de réponse d’appels et de secrétariat médical numérique aux professionnels de santé. En mai dernier, l’entreprise a subi une cyberattaque au cours de laquelle les pirates ont eu accès à une mine d’informations sensibles échangées entre les patients et les cabinets médicaux qui avaient recours à ses services :

  • Noms des patients
  • Numéros de téléphone
  • Dates de naissance
  • Informations sur les conditions médicales
  • Traitements
  • Ordonnances
  • Numéros de sécurité sociale dans certains cas

Bien que Phreesia n’ait pas divulgué le nombre exact de personnes touchées, l’entreprise a dû notifier au Département américain de la Santé et des Services sociaux qu’elle informait 914 138 individus que leurs données avaient été volées.

14e plus grosse fuite de données médicales de 2024

Selon le décompte des violations de données du gouvernement américain, ce piratage de ConnectOnCall se classe au 14e rang des fuites de données liées à la santé les plus importantes en 2024. Une position peu enviable qui souligne l’ampleur et la gravité de l’incident.

Les fuites de données médicales sont particulièrement préoccupantes en raison de la nature hautement sensible et confidentielle des informations de santé.

HIPAA Journal

Quels risques pour les patients concernés ?

Les personnes dont les données ont été exposées lors de cette cyberattaque s’inquiètent à juste titre des conséquences potentielles :

  • Usurpation d’identité médicale
  • Chantage et extorsion
  • Sollicitations et spams ciblés
  • Atteinte à la vie privée et à la réputation
  • Discrimination (assurances, emploi…)

Les experts en cybersécurité rappellent que les données médicales sont parmi les informations personnelles les plus recherchées sur le Dark Web, car elles permettent une multitude de fraudes et d’arnaques lucratives.

ConnectOnCall et Phreesia face à leurs responsabilités

Suite à cette fuite massive, ConnectOnCall et sa maison-mère Phreesia vont devoir rendre des comptes sur les circonstances de l’attaque et les mesures de sécurité qui étaient en place pour protéger les données des patients. L’entreprise risque de lourdes sanctions financières et des poursuites judiciaires si des manquements sont avérés.

Toute entité couverte par la loi HIPAA a l’obligation de mettre en œuvre des mesures de sécurité techniques, physiques et administratives appropriées pour préserver la confidentialité, l’intégrité et la disponibilité des informations de santé protégées.

HIPAA Security Rule

Au-delà des aspects légaux, c’est la confiance des patients et des professionnels de santé qui risque d’être durablement ébranlée. Les cabinets médicaux qui avaient recours aux services de ConnectOnCall devront rassurer leurs patients et peut-être revoir leurs procédures et leurs partenaires pour la gestion des appels et des données médicales.

Leçons à tirer pour le secteur de la santé

Au-delà du cas de ConnectOnCall, cette fuite de données met en lumière les risques croissants de cyberattaques visant le secteur médical et la nécessité de renforcer la sécurité des systèmes et des échanges d’informations. Avec la digitalisation accélérée de la santé, la surface d’attaque s’est considérablement élargie pour les cybercriminels.

Tous les acteurs de l’écosystème, des hôpitaux aux cabinets médicaux en passant par les éditeurs de logiciels et les prestataires comme ConnectOnCall, doivent collaborer pour :

  • Durcir leurs défenses cybersécurité
  • Chiffrer les données sensibles
  • Auditer et monitorer leurs systèmes
  • Former et sensibiliser le personnel
  • Établir des plans de réponse aux incidents

Car en matière de données de santé, la sécurité est une responsabilité partagée et un enjeu collectif. La confiance et la vie privée des patients en dépendent. Espérons que ce nouveau piratage serve de piqûre de rappel pour renforcer de toute urgence la cybersécurité du monde médical.

Précédent

OpenAI Étend Son Outil de Recherche Web Alimenté par l’IA à Davantage d’Utilisateurs de ChatGPT

Suivant

TikTok Demande Au Supreme Court De Bloquer La Loi Sell-or-Ban

À lire également