Le secteur de la santé, cible privilégiée des cybercriminels, a révélé une violation de données massive touchant 5,6 millions de personnes. Malgré son ampleur, Ascension a connu une faille de sécurité majeure due à une simple erreur humaine. Les conséquences, tant humaines que financières, soulignent l’urgence d’améliorer les mesures de cybersécurité.
La grande image : Le secteur de la santé est devenu une cible lucrative pour les cybercriminels, en raison de l’abondance de données exploitables et des mesures de cybersécurité souvent inadéquates qui affectent de nombreux fournisseurs. Ascension, qui gère 118 hôpitaux et des centaines d’autres établissements à l’échelle nationale, était manifestement mal préparée pour une attaque d’une telle ampleur, malgré sa taille et ses ressources.
Dans un dépôt auprès du bureau du procureur général du Maine publié le 20 décembre, le géant américain de la santé a révélé qu’un nombre stupéfiant de 5,6 millions de personnes avaient vu leurs données personnelles et médicales exposées lors d’une cyberattaque survenue plus tôt cette année.
Selon Ascension, la violation a eu lieu le 29 février mais est restée indétectée jusqu’au 8 mai. L’attaque a potentiellement permis aux pirates d’accéder à une multitude d’informations sensibles, y compris des détails de paiement, des informations d’assurance, des numéros de sécurité sociale, des adresses et des dates de naissance. Bien qu’Ascension ait déclaré qu’aucune preuve ne suggère que les dossiers électroniques des patients ont été directement compromis, l’ampleur de la violation reste alarmante.
Quant à la manière dont un vaste système de santé est devenu victime d’un hack aussi sévère, tout est dû à une erreur classique : un employé a accidentellement téléchargé un fichier malveillant déguisé en fichier légitime. Le fournisseur de soins de santé a admis en juin qu’il s’agissait « d’une erreur honnête ».
Cette cyberattaque a contraint Ascension à reporter des opérations et des rendez-vous dans certaines installations, tandis que d’autres ont dû refuser des ambulances. Les patients ont connu de longues attentes, et de nombreux établissements n’ont pas eu accès à leurs dossiers électroniques pendant des semaines après la violation. La société déclare maintenant qu’elle travaille à reprogrammer les procédures retardées et à retrouver son équilibre.
L’impact financier a également été significatif. Ascension a signalé une baisse de 8 à 12 % du volume de patients en mai et juin par rapport à 2023, attribuant ce déclin directement aux perturbations causées par l’attaque.
Pour aggraver la situation, la violation est survenue peu après la cyberattaque sans précédent de Change Healthcare, qui avait compromis les données de plus de 100 millions d’Américains plus tôt en 2024. Cet incident, considéré comme le piratage le plus dommageable du secteur de la santé dans l’histoire des États-Unis, a également eu un impact sur Ascension.
En réponse à ces deux violations majeures, Ascension déclare avoir diversifié ses maisons de compensation des réclamations pour « mieux se protéger contre de futurs incidents ».
La violation se classe parmi les six plus grandes incidents de données de santé jamais signalés en termes de nombre de personnes touchées.
Les attaques par ransomware ont, en général, été en hausse, avec 2024 s’annonçant comme une autre année record. Elles deviennent également de plus en plus coûteuses. Un rapport récent indique que la rançon médiane a atteint 2,54 millions d’euros l’année dernière, soit 41 fois plus grande que la rançon médiane de l’année précédente, qui s’élevait à 62 500 euros.