La société de santé numérique iRhythm Holdings a révélé une fuite de données après le vol d’informations personnelles et médicales de patients par des pirates informatiques. Ces données étaient stockées dans des applications métiers hébergées par un tiers.
L’entreprise a précisé que son service de surveillance cardiaque avait analysé plus de deux milliards d’heures de données cardiaques structurées, ce qui concerne plus de douze millions de patients.
Dans un dépôt auprès de la Securities and Exchange Commission effectué lundi, iRhythm a indiqué qu’elle avait découvert l’incident la veille. Elle a immédiatement ouvert une enquête avec des experts externes en cybersécurité et activé son plan de réponse pour limiter la fuite.
L’entreprise a ajouté que les attaquants avaient pris contact une semaine auparavant, le 9 juin. Ils exigeaient une rançon pour empêcher la publication des informations médicales volées en ligne. iRhythm n’a pas attribué l’attaque à un groupe de cybercriminalité spécifique.
« Le 9 juin 2026, la société a reçu des communications d’un acteur malveillant prétendant détenir des informations sensibles, dont des données propriétaires, des informations de santé protégées de patients et d’autres données personnelles », a déclaré iRhythm. « Les communications de cette menace exigeaient un paiement en échange de la non-divulgation publique de ces informations. »
« Depuis la réception de ces communications, la société a confirmé que certaines données avaient été extraites de ces applications. Le 10 juin 2026, la société a déterminé que l’incident était significatif en raison du volume des données potentiellement concernées. »
La société a aussi déclaré qu’elle n’avait aucune preuve que l’incident ait touché « ses produits, ses systèmes cliniques ou médicaux, la sécurité des patients, ses opérations de fabrication et de distribution, ou ses systèmes de reporting financier ». Elle a noté que les auteurs de l’attaque avaient accédé aux données par le biais d’une ingénierie sociale.
iRhythm a précisé qu’elle ne conservait pas les informations de cartes de paiement ou de comptes financiers des patients. Elle a aussi indiqué que la faille ne touchait pas ses systèmes cliniques ou ses dispositifs médicaux.
La semaine dernière, le géant pharmaceutique danois Novo Nordisk, premier producteur mondial d’insuline, a également révélé une fuite de données. Des pirates avaient volé des informations sur des patients provenant d’essais cliniques, après avoir compromis des systèmes informatiques internes.