[États-Unis] L’assureur d’un établissement de santé est sanctionné pour une violation de données impliquant 9,3 millions de patients

L'entreprise new-yorkaise Excellus Health Plan, également connue sous le nom d'Excellus BlueCross BlueShield et Univera Healthcare, a reçu une amende de 5,1 millions de dollars ainsi qu’une obligation de suivi d’un plan d'action correctif avec l'Office des droits civils (OCR). Cette sanction fait suite à une enquête de l’OCR pour résoudre l'éventuel non-respect de la loi HIPAA (Health Insurance Portability and Accountability Act) suite à une violation des données hébergée par Excellus Health Plan en 2015 qui a touché 9,3 millions de patients.

L'incident de sécurité d'Excellus a été l'une des plus grandes violations de données de 2015. Découvert en août 2015, les pirates informatiques ont accédé au réseau du plan de santé plus de 18 mois plus tôt, en décembre 2013.

Durant cette période, les acteurs de la cyber-menace ont installé des logiciels malveillants dans le réseau Excellus et ont effectué des opérations de reconnaissance. Les pirates ont également pu accéder aux données de santé d'environ 7 millions de patients d'Excellus et de 2,5 millions membres de sa filiale Lifetime Healthcare. Les données compromises comprenaient les noms, les dates de naissance, les numéros de sécurité sociale, les coordonnées, les numéros d'identification des membres, les informations sur les comptes financiers ainsi que les données relatives aux demandes de remboursement.

Suite au rapport de violation déposé le 9 septembre 2015, l'OCR a lancé une enquête et a trouvé cinq violations potentielles de l'HIPAA. Plus précisément, l'OCR a déterminé qu'Excellus n'avait pas effectué une analyse de risque précise et approfondie de toutes les vulnérabilités et menaces à la confidentialité, l'intégrité et la disponibilité des données de santé numérique sur son réseau.

En plus de l’amende, Excellus est contraint de mettre en œuvre un plan d'action correctif qui comprend deux ans de surveillance. L'OCR a exigé qu’Excellus effectue une analyse complète des risques pour la totalité des composants de son système d’information.

L'analyse des risques doit être précédée d'un inventaire complet de tous les équipements, systèmes de données et applications qui stockent, transmettent ou reçoivent des données médicales au format numérique. Excellus doit également élaborer un plan de gestion des risques de l'entreprise pour traiter tout risque révélé au cours des analyses.

Le règlement d'Excellus est la deuxième sanction d'exécution annoncée par l'OCR en 2021.

En France, la CNIL a récemment sanctionné deux médecins pour avoir exposé des données médicales de leurs patients sur des serveurs en ligne non-sécurisés.

https://www.cyberveille-sante.gouv.fr/index.php/cyberveille-sante/2292-la-cnil-sanctionne-deux-medecins-pour-violation-de-donnees-de-sante-2021-01