USA : Une amende de 264 000$ pour SAManage pour non protection des données de santé

SAManage est une société fournissant des solutions basées sur le Cloud.

Dans le cadre d’un contrat avec WEX Health au Vermont, une feuille Excel contenant 660 numéros de sécurité sociale a été transmise via l’outil de ticketing de la société.

L’outil n’implémentait pas de mécanisme d’authentification et l’URL contenant les données confidentielles est apparue dans le moteur de recherche Bing.

Elle a ainsi été découverte par un des habitants du Vermont ayant effectué une recherche sur l’une des personnes mentionnées dans le document.

La fuite de données a été signalée au procureur général du Vermont qui a fixé une amende de 264 000$ à la société, car bien qu’elle ait à postériori mis en place une authentification sur le document, la pratique n’est pas employée nativement au sein de la société. De plus, celle-ci n’avait pas prévenu WEX Health et les utilisateurs impactés par la brèche sous les délais légalement imposés.

Le procureur général a ainsi rappelé à la société ses obligations en matière de communication sur l’incident de sécurité au regard du contractant mais également des utilisateurs impactés.

Par ailleurs, la société a été dans l’obligation de revoir ses politiques de sécurité et de mettre en place les mesures suivantes :

  • Implémentation d’un VPN
  • Installation d’un antivirus
  • Mise en place d’un système de supervision du trafic
  • Paramétrage d’un contrôle d’accès sur toutes parties des systèmes manipulant des données de santé
  • Archivage des logs sur 90 jours
  • Mise en place d’une authentification sur toutes données pouvant être accessibles publiquement