Dans le secteur hospitalier américain, 53 % des violations de données de santé à caractère personnel seraient dues au manque de contrôle en interne

Une étude réalisée en juin 2017 par des chercheurs en sécurité de deux universités américaines a révélé qu’entre 2009 et 2017, plus de la moitié des  atteintes aux données de santé notifiées dans le cadre du HIPAA (Health Insurance Portability and Accountability Act) seraient attribuables à des erreurs ou des négligences internes plutôt qu’à des cyberattaques, des logiciels malveillants ou encore des rançongiciels.

Sur les 1138 atteintes recensées par l’étude,  53 % des atteintes seraient le fait de personnels autorisés. Le reste des atteintes seraient majoritairement des vols commis par des personnes de l'extérieur (32,5 %), des erreurs d’envois postaux (10,5 %) ou encore des vols commis par des employés en poste ou ayant quitté l’entreprise (9,0 %). Concernant les supports impactés, les appareils mobiles seraient majoritaires (46,1 %), suivis des serveurs de réseau (29,3 %) puis par les dossiers papier (28,7 %). Bien que seulement 20 % des atteintes identifiées seraient d’origine malveillante, elles représenteraient une grande majorité des compromissions de dossiers patients (133,8 millions sur les 164 millions observés, soit 82%).

Dans leurs conclusions, les chercheurs font remarquer que ces observations ne concernent que le secteur hospitalier et uniquement les violations de données impliquant plus de 500 personnes. Une analyse d’autres secteurs de la santé pourrait donc venir étayer ou au contraire relativiser ces observations.

L’étude complète publiée dans la revue JAMA Internal Medicine et ses résultats sont disponibles à cette adresse (la création gratuite d’un compte est nécessaire pour accéder à l’ensemble de l’étude).