Les violations médicales représentaient 342 millions de fuites de dossiers entre 2009 et 2022
Depuis 2009, les organisations médicales aux États-Unis ont subi près de 5 000 violations de données, affectant plus de 342 millions de dossiers médicaux.
Notre équipe de chercheurs a analysé les données de 2009 à juin 2022 pour découvrir quels États américains subissent le plus de violations médicales et combien de dossiers ont été touchés chaque année. Nous avons également examiné en profondeur les violations survenues entre janvier 2021 et juin 2022 pour identifier la principale cause de ces violations et les organismes de santé les plus touchés.
Notre étude a porté sur des violations qui ont paralysé les établissements de santé, dont beaucoup ont conduit à l’exploitation de données médicales personnelles, mettant en danger la santé et, dans certains cas, la vie des patients. Les violations peuvent souvent conduire à la mise hors ligne des systèmes de santé, ce qui signifie que le personnel médical se retrouve sans informations critiques. Les acteurs malveillants peuvent également accéder aux numéros de sécurité sociale, aux informations sur l’assurance maladie, aux ordonnances, aux antécédents médicaux et même aux données financières liées à la facturation médicale.
L’année 2020 représente à elle seule près d’un cinquième de toutes les violations depuis 2009, avec 803 violations et 46,6 millions d’enregistrements concernés. L’année 2021 a connu une légère baisse de 11 % (de 803 violations à 711). Jusqu’à présent, 2022 n’a enregistré que 151 violations et près de 8 millions d’enregistrements touchés, soit un nombre bien inférieur à celui des années précédentes. Cependant, avec de nombreuses violations signalées plusieurs mois après leur survenue, il est probable que ces chiffres augmenteront dans les mois à venir.
Principales conclusions:
- 4 746 manquements médicaux enregistrés de 2009 à juin 2022
- 342 017 215 dossiers individuels ont été touchés à la suite de ces violations
- 2020 a été l’année la plus importante en matière d’infractions médicales avec 803 signalées (la deuxième plus élevée était 2021 avec 711)
- L'année 2015 a été marquée par le plus grand nombre de dossiers touchés, soit plus de 112 millions au total.
- En 2021 et 2022 (jusqu'à présent), les cliniques spécialisées (cliniques spécialisées dans un certain domaine de la médecine, par exemple cardiologie ou radiologie, etc.) sont responsables du plus grand nombre de violations de données (15 %), avec 130 entités violées au total, mais les réseaux hospitaliers représentent les enregistrements les plus violés avec 8,8 millions touchés au total (16 pour cent de l'ensemble des enregistrements affectés)
- En 2021 et 2022 (jusqu'à présent), le piratage était le type de violation le plus courant, représentant 40 % des violations (353 sur 862).
Les 50 États sont tenus de signaler les violations médicales au Département américain de la Santé et des Services sociaux (HHS), les violations individuelles étant déposées si elles affectent plus de 500 dossiers (ceux qui en contiennent moins peuvent être déposés dans le cadre d'un rapport annuel). Étant donné que l’outil ne répertorie que les violations affectant 500 patients ou plus, il est probable que nos chiffres sous-estiment la véritable ampleur du problème.
Les 5 États les plus touchés par les violations de données médicales et les dossiers touchés depuis 2009
Si nous examinons le nombre de violations de données commises par les États américains, nous pouvons constater que la Californie est de loin celle qui en compte le plus, représentant 474 (environ 10 %) des 4 746 violations de données.
Le Texas (383), la Floride (288), New York (287) et l'Illinois (217) sont les quatre autres États les plus touchés. Cependant, comme ces États comptent tous parmi les États les plus peuplés des États-Unis, cela n’est peut-être pas vraiment une surprise.
En ce qui concerne le nombre de records concernés, la situation change légèrement, l'Indiana se hissant au sommet.
L'Indiana a enregistré le plus grand nombre de dossiers touchés, avec près de 87,2 millions de dossiers (plus de 25 pour cent de tous les dossiers violés). C'est nettement plus que New York, deuxième, avec 25 millions de dossiers concernés. Cependant, le chiffre élevé de l’Indiana provient principalement d’une violation sur Anthem, Inc. (rapportée en 2015) où 78,8 millions de dossiers ont été touchés.
Les États qui suivaient de près New York étaient la Floride (23,1 millions), la Californie (19 millions) et le Texas (16,3 millions).
Le Dakota du Sud a rapporté les chiffres les plus bas avec seulement huit violations de données signalées depuis 2009 et 36 900 dossiers médicaux violés. Cependant, il est important de noter que les violations de données qui se produisent dans les établissements médicaux peuvent affecter les résidents d'autres États, en particulier si l'organisation est située dans plusieurs États.
Si l’on considère le nombre de dossiers médicaux concernés pour 100 000 habitants de la population de chaque État, le graphique change de façon assez radicale, à l’exception de l’Indiana. L'Indiana arrive en tête avec 1,28 million de dossiers affectés pour 100 000 habitants. Cependant, comme indiqué ci-dessus, cela est dû à la violation d’Anthem, Inc., qui aurait également affecté les résidents situés en dehors des frontières de l’État.
Le Minnesota enregistre le deuxième plus grand nombre de violations de données pour 100 000 habitants, avec 235 259 données. Viennent ensuite Washington (210 632 enregistrements affectés pour 100 000 personnes), le Tennessee (210 371 enregistrements affectés pour 100 000 personnes) et l'Iowa (175 848 enregistrements affectés pour 100 000 personnes).
En plus de ce qui précède, huit autres États ont été répertoriés comme ayant plus de 100 000 dossiers pour 100 000 personnes touchées par des violations médicales (MT, PR, NC, NY, NM, VA, AZ et FL).
Le Dakota du Sud a signalé seulement 4 121 enregistrements affectés pour 100 000 habitants. L'Idaho (9 825 pour 100 000) et le Mississippi (9 843 pour 100 000) étaient les deux seuls autres États à avoir moins de 10 000 enregistrements pour 100 000 personnes touchées.
Le top 5 des violations de données médicales avec le plus de dossiers touchés depuis 2009
Les cinq plus grandes violations de données médicales en termes de nombre de dossiers concernés sont les suivantes :
- Anthem Inc. = 78,8 millions de disques concernés : Rapporté en 2015, l'OCR suggère que cette violation de données est la plus grande violation de données de santé aux États-Unis dans l'histoire. Un employé a ouvert un e-mail malveillant de spear phishing, ce qui a permis d’accéder aux systèmes informatiques d’Anthem Inc. et d’extraire les données de près de 79 millions de personnes. Anthem a accepté de payer 16 millions de dollars à l'OCR afin de régler d'éventuelles violations.
- Optum360, LLC = 11,5 millions d'enregistrements concernés : Les informations personnelles et financières privées de 11,5 millions de patients de laboratoire de l’American Medical Collection Agency ont été consultées par des pirates informatiques entre août 2018 et mars 2019. Ceux qui avaient des factures de services de laboratoire en souffrance ont été touchés par cette violation.
- Premera Blue Cross = 11 millions de dossiers concernés : Premera Blue Cross a été contrainte de payer 6,85 millions de dollars à l'OCR après avoir subi une violation de données au cours de laquelle des pirates ont utilisé un e-mail de phishing pour installer un logiciel malveillant qui leur a donné accès à son système informatique. L’entrée des pirates dans le système est passée inaperçue de mai 2014 à janvier 2015.
- Laboratory Corporation of America Holdings dba LabCorp = 10,2 millions d'enregistrements concernés : En 2019, LabCorp a signalé qu'un intrus avait accédé au site Web de paiement d'un tiers qu'il utilisait, l'American Medical Collection Agency. La violation a exposé les données personnelles, financières et médicales de plus de 10,2 millions de personnes. LabCorp a mis fin à sa relation commerciale avec l'agence de recouvrement peu après la violation.
- Excellus Health Plan, Inc. = 9,3 millions de dossiers concernés : Des pirates ont obtenu un accès non autorisé aux systèmes informatiques d’Excellus Health Plan Inc. de décembre 2013 à mai 2015. Des logiciels malveillants ont été installés, ce qui a conduit à la divulgation de 9,3 millions d’enregistrements de données personnelles.
Les violations médicales les plus importantes datent d’il y a plusieurs années. Ainsi, même si nous constatons une augmentation du nombre d’enregistrements affectés chaque année, cela est dû à un volume d’attaques plus élevé plutôt qu’à des violations plus importantes et moins fréquentes. Par exemple, la première fois que nous voyons 2021 entrer au sommet, c'est à la 16e place avec 20/20 Eye Care Network, Inc. Il a signalé un incident de piratage qui a touché 3,3 millions de personnes. Une seule autre violation pour 2021 (la violation de 2,4 millions d’enregistrements par Forefront Dermatology) entre dans le top 20, tandis que la première entrée pour 2022 (la violation de 2 millions d’enregistrements par Shields Health Care Group, Inc. en mars 2022) arrive à la 22e place.
Les années les plus importantes pour les violations de données médicales
Selon le graphique ci-dessous, 2020 a été l’année la plus importante en matière de violations de données médicales avec 803 au total. L’année 2021 a également enregistré un nombre élevé de violations avec 711, suivie de près par 2019 avec 520. Cela montre qu’au cours des 3 dernières années complètes, les violations de données médicales ont augmenté de façon exponentielle.
L’année 2015 a signalé un nombre extraordinairement élevé de dossiers touchés par rapport à toutes les autres années, avec 112 millions de dossiers violés. Cependant, comme nous l’avons déjà commenté, cela découle de la violation d’Anthem, Inc.
Si l’on analyse le nombre médian d’enregistrements affectés chaque année, entre 2009 et 2018, le nombre médian d’enregistrements affectés par violation reste autour de 2 000. De 2018 à 2019, il y a eu une forte augmentation (de 70 pour cent, passant de 2 284 à 3 893). Cela s’est poursuivi en 2020 (avec une augmentation de 26 pour cent, passant de 3 893 à 4 916) et de 2020 à 2021 (en hausse de 4 pour cent jusqu’à 5 122).
Quel a été le type de violation de données médicales le plus courant en 2021 ?
Le piratage s'est avéré être la méthode la plus populaire pour pirater les organisations médicales, représentant 288 des 711 violations (41 %) en 2021. La deuxième catégorie la plus importante (hors inconnus) était celle des ransomwares avec 161 attaques (23 %) enregistrées.
Définitions des violations : carte (carte de débit/crédit non piratée, par exemple écrémage), piratage (partie externe ou logiciel malveillant), Insd (initié - employé, tiers ou client), Phys (documents papier), port (appareils portables, par exemple ordinateurs portables, clés USB et disques durs), Rans (ransomware), Stat (ordinateur fixe), Disc (divulgation involontaire, par exemple informations sensibles publiées publiquement), Unkn (inconnu). Bien que les attaques de phishing ne soient pas répertoriées séparément ici, elles peuvent constituer la méthode utilisée pour lancer des attaques de piratage et de ransomware.
Le type de violation le moins susceptible de se produire en matière de violations médicales est le recours au écrémage des cartes de crédit ou de débit. Cette méthode n’a été utilisée qu’une seule fois lors de la fuite de données de TGH Urgent Care, au cours de laquelle un employé a pris des photos des cartes de crédit et des permis de conduire des patients afin de voler des informations.
Quel a été le type d’organisation médicale le plus touché en 2021 ?
Afin de déterminer quelle organisation a subi le plus de violations de données médicales, nous avons classé toutes les violations en 23 catégories de types d'établissements de santé (veuillez consulter la méthodologie pour les définitions).
Le type d’organisation qui a subi le plus grand nombre de violations en 2021 est celui des cliniques spécialisées, avec 106 violations médicales, impactant 3 millions de dossiers. Comme mentionné précédemment, les cliniques spécialisées sont celles qui se concentrent sur un domaine spécifique des soins de santé, par ex. cardiologie ou radiologie. Les autres organisations les plus touchées en 2021 en termes de nombre de violations étaient :
- Réseaux de cliniques (une organisation composée de plusieurs cliniques offrant des soins de santé généraux à partir de plusieurs emplacements) : 87 entités violées affectant 4,1 millions d'enregistrements
- Compagnies d’assurance maladie : 78 violations affectant 2,4 millions de dossiers
- Hôpitaux : 72 entités violées affectant 3,2 millions d'enregistrements
- Cliniques : 51 entités violées affectant 3 millions d'enregistrements
En termes de nombre de dossiers, les réseaux hospitaliers et les réseaux cliniques sont les plus touchés avec respectivement 6,8 millions et 4,1 millions de dossiers concernés. Comme il s’agit tous deux de « réseaux » d’établissements de santé, ce n’est pas vraiment une surprise car ils auront probablement plus de dossiers dans leurs dossiers.
Jusqu'à présent, en 2022, les compagnies d'assurance maladie sont le type d'organisation le plus touché, avec 26 entités violées affectant 1,2 million de dossiers. Les cliniques spécialisées suivent de près avec 24 violations affectant près de 620 000 dossiers. Les réseaux hospitaliers et les réseaux cliniques sont à nouveau ceux qui ont le plus de dossiers touchés (respectivement 2 millions et 1,9 million).
À quoi ressemble 2022 en matière de violations de données médicales ?
Au cours des six premiers mois de 2022, 151 violations de données médicales ont été signalées, affectant 7 997 739 dossiers. Même si ces chiffres peuvent paraître modestes aujourd’hui, il est probable qu’ils augmenteront dans les mois à venir. Néanmoins, à travers notre violation de données financières et les rapports sur les ransomwares, nous constatons une baisse en 2022. Cela est peut-être dû à des attaques plus ciblées. Nous pouvons le constater avec la violation de données sur MCG Health. Le 10 juin de cette année, l'éditeur de logiciels a révélé qu'il y avait eu un accès non autorisé à ses systèmes. Jusqu'à présent, au moins huit organisations touchées par la violation de MCG Health se sont manifestées et ont soumis des rapports de violation affectant près de 800 000 dossiers.
Méthodologie
Afin de recueillir autant d'informations que possible sur les violations de données médicales, nous avons rassemblé une liste de violations de 2009 à juin 2022 telles que signalées sur le Portail ROC . Pour approfondir les types de violations et les organisations les plus touchées, notre équipe a effectué des recherches dans les ressources du secteur, les outils de notification des violations de données des États et les sources d'information pour recueillir des données supplémentaires sur les violations survenues de 2021 à juin 2022.
Dans la mesure du possible, la violation est attribuée à la date précise à laquelle elle s'est produite. Par exemple, une violation peut avoir eu lieu en 2021 mais n’avoir été divulguée qu’en 2022. Nous l’attribuerions donc aux chiffres de 2021, car c’est à cette date que la violation s’est produite.
Chaque violation a été classée dans l’un des 23 types d’organisations médicales, définis comme suit :
- Hôpital universitaire
- Entreprise : une entreprise générale (par exemple un fournisseur de marketing) qui travaille uniquement avec des entreprises de soins de santé
- Clinique : une clinique offrant des services de santé complets
- Réseau de cliniques : un système de cliniques opérant à partir de plusieurs endroits pour offrir des services de santé complets
- Dentaire : un cabinet offrant des services de soins dentaires
- Ministère de la Santé : un ministère gouvernemental de la Santé
- Éducation : une école/université impliquée dans une violation de données liées à la santé
- Gouvernement : un département/entité du gouvernement général impliqué dans une violation de données liées à la santé, par ex. le département des services sociaux ou un gouvernement de comté
- Assurance santé
- Soins à domicile/personnes âgées
- Hôpital
- Réseau hospitalier : un système d'hôpitaux fonctionnant à partir de plusieurs endroits pour offrir des services de santé complets
- Laboratoire : une activité de laboratoire de santé
- Facturation médicale : une entreprise spécialisée principalement dans les solutions de facturation médicale
- Matériel médical : une entreprise spécialisée principalement dans le matériel médical
- Technologie médicale : une entreprise spécialisée principalement dans les solutions technologiques destinées aux entreprises de santé
- Transport médical : une entreprise spécialisée principalement dans les solutions de transport pour les entreprises de santé
- Optométrie : un cabinet offrant des services de santé optique
- Autre : toute organisation confrontée à une violation liée à la santé mais qui n'est pas une entreprise basée sur la santé.
- Pharmacie : une organisation/un réseau spécialisé dans le secteur pharmaceutique
- Services sociaux
- Clinique spécialisée : une clinique qui opère dans un certain domaine de soins de santé, par ex. médecins ou centres de réadaptation
- Réseau de cliniques spécialisées : comme ci-dessus mais fonctionnant à partir de plusieurs cliniques/sites
Porto Rico a été inclus dans cette étude, mais n’est inclus dans aucune carte.
Chercheur de données :Charlotte Bond
Sources
Violations de données signalées à : https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf
D’autres sources de violations en 2021 et 2022 peuvent être trouvées ici .