Un Géant de la Santé Britannique Victime d’une Cyberattaque de Grande Ampleur

L’autorité britannique de protection des données vient d’infliger une amende provisoire de plus de 6 millions de livres à Advanced, fournisseur du NHS, suite à une cyberattaque dévastatrice. En effet, le géant de la santé n’aurait pas suffisamment sécurisé les données de milliers de patients, qui ont ensuite été dérobées lors d’une attaque ransomware. Cet incident majeur soulève des questions cruciales sur la sécurité numérique dans le secteur de la santé.

Une Faille de Sécurité Critique Exploitée par les Cybercriminels

Selon l’ICO (Information Commissioner’s Office), les pirates informatiques à l’origine de l’attaque ransomware d’août 2022 ont initialement accédé aux systèmes de santé d’Advanced via un compte client qui ne disposait pas d’une authentification multifacteurs. Cette vulnérabilité a permis aux cybercriminels de pénétrer le réseau et de dérober des données sensibles.

L’absence d’authentification multifacteurs sur un compte donnant accès à des données de santé est une négligence grave. Les organisations manipulant des informations sensibles doivent impérativement renforcer leur sécurité.

– John Edwards, Commissaire de l’ICO

Des Conséquences Majeures pour le NHS et les Patients

Cette cyberattaque a entraîné des perturbations significatives des services du NHS à travers le Royaume-Uni :

  • Pannes de la ligne d’urgence non vitale 111
  • Hôpitaux et cabinets médicaux forcés de revenir au papier pendant des semaines
  • Médecins dans l’impossibilité d’accéder aux dossiers des patients

Au-delà de la disruption des soins, l’ICO a confirmé le vol des données de près de 83 000 personnes au Royaume-Uni, comprenant des numéros de téléphone, des dossiers médicaux et même des détails sur l’accès au domicile de 890 patients recevant des soins à domicile. Une fuite d’une gravité alarmante.

Advanced dans le Viseur des Autorités

Suite à son enquête, l’ICO a déclaré qu’Advanced avait provisoirement « enfreint la loi sur la protection des données en ne mettant pas en œuvre des mesures de sécurité appropriées avant l’attaque pour protéger les informations personnelles qu’elle traitait ». C’est pourquoi le fournisseur de logiciels risque une lourde pénalité financière.

La décision de rendre cette affaire publique vise en partie à éviter des incidents similaires à l’avenir. J’exhorte toutes les organisations, en particulier celles qui manipulent des données de santé sensibles, à sécuriser de toute urgence les connexions externes avec une authentification multifacteurs.

– John Edwards, Commissaire de l’ICO

Des Leçons à Tirer pour Tout le Secteur de la Santé

Ce cas illustre parfaitement les risques majeurs auxquels s’exposent les acteurs de la santé qui négligent leur sécurité informatique. Dans un contexte où la digitalisation s’accélère et où les données de santé sont de plus en plus convoitées par les cybercriminels, investir dans une protection robuste est crucial.

Parmi les mesures clés à mettre en place :

  • Authentification multifacteurs systématique
  • Chiffrement des données sensibles
  • Audits de sécurité réguliers
  • Sensibilisation et formation du personnel aux risques cyber

L’attaque contre Advanced et l’amende qui en résulte doivent servir d’électrochoc. La sécurité numérique doit devenir une priorité absolue dans le secteur de la santé, au risque de mettre en danger les patients et de s’exposer à de lourdes conséquences financières et réputationnelles. À l’heure où les pirates sont à l’affût de la moindre faille, aucun acteur ne peut se permettre le luxe de la négligence.

author avatar
MondeTech.fr

À lire également