Ce secteur est dans le viseur des malfrats. Le nombre de violations a augmenté de 55,2 % en 2020 selon la septième édition du rapport annuel sur les violations de sécurité dans le secteur de la santé édité par Bitglass, spécialisé dans la sécurité du Cloud.
L'hôpital de Dax (Landes) le 9 février dernier et celui de Villefranche-sur-Saône (Auvergne-Rhône-Alpes) sont les dernières victimes des bandes spécialisées dans les ransomwares. La liste des établissements de santé (hôpitaux, laboratoires…) ne cesse de s’allonger.
Et cette situation délétère ne se limite pas qu’à la France. Chaque année, Bitglass analyse les données publiées par le Département américain de la Santé et des Services sociaux. Selon l’analyse de cette base de données contenant des informations sur les violations de données personnelles de santé protégées, il y a eu 559 violations dans ce secteur en 2020.
Dans cette édition, Bitglass s’est focalisée sur les violations auxquelles les organisations de santé ont du fait face, les comparant à celles des années précédentes, en révélant les principales tendances et les défis majeurs en matière de cybersécurité, auxquels est confronté l’industrie de la santé.
Les infractions enregistrées dans cette base de données sont réparties en différentes catégories :
- Piratage ou incidents informatiques : violations des données liées à des pirates informatiques et à une sécurité informatique inadaptée (événements de sécurité liés à des parties externes)
- Divulgation non autorisée : partage non autorisé de données personnelles de santé par des personnes internes ou des systèmes
- Perte ou vol : violations qui proviennent de la perte ou le vol de terminaux
- Autres : violations et fuites diverses
Depuis 2018, le nombre de piratages et d’incidents informatiques ne cesse d’augmenter, ce qui signifie que les ressources informatiques sont de plus en plus utilisées par les organisations et également de plus en plus ciblées par les pirates informatiques.
Coût d’un dossier compromis : 500 euros
Ces piratages et incidents ont représenté, de loin, la première cause de violations dans le secteur de la santé en 2020, avec 403 violations sur 599 (67,3 %) – un taux plus de trois fois supérieur à celui de la catégorie suivante.
Ils ont également engendré des violations bien plus importantes que les autres catégories, avec 91,2 % de tous les dossiers de santé exposés en 2020, compromis (environ 24,1 millions sur 26,4).
Quels sont les principaux résultats du rapport ?
- Le coût par dossier compromis s’élève à 499 $ en 2020, contre 429 $ en 2019. Avec 26,4 millions de dossiers exposés en 2020, les violations de sécurité ont coûté 13,2 milliards de dollars aux organismes de santé.
- Au-delà des piratages et incidents informatiques, les autres violations de sécurité ont affecté les données personnelles d’environ 2,3 millions de personnes, exposant les victimes au risque d’un vol d’identité, d’une tentative de phishing ou d’autres formes de cyberattaques.
- Cette année, le nombre de violations a augmenté à travers tout le territoire, avec 37 états américains sur 50 ayant subi plus d’infractions qu’en 2019. La Californie est l’état qui enregistre le plus grand nombre de violations dans le domaine de la santé, avec 49 cas, soit un chiffre plus élevé que le Texas, état le plus touché l’an dernier (43).
- En 2020, une entreprise du secteur de la santé avait besoin en moyenne de 236 jours pour se remettre d’une brèche de sécurité.
« La grande majorité des organismes de santé manipulent et stockent des informations de données personnelles de santé protégées telles que les numéros de sécurité sociale, les antécédents médicaux et d'autres données personnelles. Il n'est pas surprenant qu’ils soient ciblés par des cybercriminels qui cherchent à accéder à des données sensibles dont ils pourront tirer un gain financier », a déclaré Anurag Kahol, CTO de Bitglass.