Violation majeure de données chez UnitedHealth Group : une poursuite fédérale est engagée

Le secteur de la santé n’est pas épargné par les violations de données. Récemment, une cyberattaque d’envergure a été lancée contre UnitedHealth Group (UHG) et ses entités affiliées, dont Change Healthcare. Cette violation massive de données a compromis les informations personnelles de millions de patients. En conséquence, les individus affectés ont engagé une action en justice fédérale, réclamant des dommages-intérêts et un jugement déclaratoire contre UnitedHealth pour négligence et rupture de contrat.

Accusations à l’encontre de UnitedHealth

L’action en justice reproche à UnitedHealth de ne pas avoir mis en œuvre des mesures adéquates pour contrer les cyberattaques et d’avoir violé la loi HIPAA (Health Insurance Portability and Accountability Act) en ne protégeant pas suffisamment les données confidentielles des patients. La cyberattaque, attribuée au groupe Blackcat, a ciblé Change Healthcare, une entreprise de technologie de la santé acquise par UHG en 2022. La violation a rendu publics les noms, adresses, numéros de sécurité sociale, dossiers médicaux et informations d’assurance des patients.

Inquiétudes des patients et poursuite judiciaire

Malgré les assurances de UnitedHealth concernant les mesures proactives prises pour contenir la violation, les plaignants craignent le vol, la compromission ou la vente de leurs données personnelles. Ils redoutent aussi le risque d’erreur de diagnostic, de traitement inadapté et de retards de soins suite à cette violation. En conséquence, ils cherchent à obtenir une compensation financière pour les dommages subis et une injonction pour prévenir de futures violations de données.

Enquête du Bureau des droits civils du ministère de la Santé et des Services sociaux

L’ampleur de cette cyberattaque a conduit à une enquête du Bureau des droits civils du ministère américain de la Santé et des Services sociaux. Ce bureau vise à déterminer si une violation d’informations de santé protégées a eu lieu et à évaluer la conformité de l’UHG aux normes HIPAA.

Réaction du UnitedHealth Group

En réponse à l’action en justice et à l’enquête, UnitedHealth Group s’est engagé à coopérer avec les autorités et à restaurer ses systèmes. L’entreprise travaille avec les forces de l’ordre pour enquêter sur l’étendue de l’attaque et protéger les données compromises.

Mesures proactives pour protéger les informations personnelles

Il est important de souligner que les patients touchés par cette violation ne sont pas responsables de la prévention ou de la dissuasion de l’attaque. Toutefois, il existe des mesures proactives que les individus peuvent prendre pour protéger leurs informations personnelles en ligne. La Cybersecurity & Infrastructure Security Agency des États-Unis recommande des actions telles que la mise à jour régulière des mots de passe, la prudence face aux e-mails et aux liens suspects, ainsi que l’utilisation de l’authentification multifacteur pour la sécurité des comptes.

Impact au-delà du UnitedHealth Group

Les conséquences de cette cyberattaque vont au-delà de UnitedHealth Group. Dans un autre incident, Change Healthcare, le fournisseur de technologie touché par la violation, a été la cible d’une cyberattaque en février. Cette attaque continue de perturber les hôpitaux du New Hampshire, les retards de paiement entraînant des perturbations dans les soins aux patients. Les hôpitaux ont mis en place des solutions de contournement et renforcé leur personnel pour garantir que les patients reçoivent les soins nécessaires. Ils demandent à Change Healthcare d’assumer ses responsabilités et de remédier rapidement à la situation.

Engagements de Change Healthcare et enquête en cours

La société mère de Change Healthcare s’est engagée à fournir une aide financière aux hôpitaux du New Hampshire touchés. Parallèlement, le ministère de la Santé et des Services sociaux surveille la situation pour garantir des paiements rapides aux prestataires de soins de santé, même si les factures réelles n’ont pas été reçues.

La cyberattaque contre Change Healthcare a suscité des préoccupations quant à la conformité de l’entreprise aux lois sur la protection de la vie privée et à la sécurité des informations de santé des patients. L’enquête du Bureau des droits civils déterminera si des données de patients ont été exposées et évaluera le respect par Change Healthcare des réglementations en matière de protection de la vie privée.

Nécessité d’améliorer la cybersécurité dans le secteur de la santé

Alors que le secteur de la santé fait face aux conséquences de ces cyberattaques, il est essentiel que les organisations accordent la priorité à la sécurité des données et mettent en œuvre des mesures robustes pour prévenir de futures violations. Les experts en cybersécurité soulignent que les attaques par ransomware, comme celle subie par Change Healthcare, sont de plus en plus fréquentes, en particulier dans le secteur de la santé. Les établissements de santé doivent rester vigilants et investir dans des stratégies de cybersécurité complètes pour protéger les informations sensibles des patients.

Les récentes cyberattaques contre UnitedHealth Group et Change Healthcare mettent en évidence le besoin urgent de renforcer les mesures de cybersécurité dans le secteur de la santé. Les patients affectés par ces violations réclament justice et indemnisation financière, tandis que les organisations sont soumises à un examen minutieux de la part des autorités réglementaires. Cela rappelle à tous les acteurs de la santé l’importance de faire de la protection des données une priorité et de mettre en œuvre des protocoles de sécurité stricts. À mesure que la technologie évolue, la lutte contre les cybermenaces reste un défi permanent nécessitant une vigilance constante et des mesures proactives.