1,6 million de personnes touchées par une violation massive de données au sein d'une coopérative de services de laboratoire

Laboratory Services Cooperative (LSC), fournisseur de tests médicaux, a confirmé une violation de données dévastatrice qui a exposé les informations personnelles et médicales sensibles d'environ 1,6 million de personnes. Cet incident, survenu en octobre 2024, a suscité de vives inquiétudes quant à la sécurité des données de santé et à la menace croissante de cyberattaques visant le secteur médical.

Selon LSC, la faille a été identifiée le 27 octobre, après qu'un acteur malveillant a réussi à infiltrer le réseau de l'organisation et à exfiltrer de nombreux fichiers contenant des informations hautement confidentielles. Les données compromises affectent à la fois les patients et les employés, y compris ceux affiliés à certains centres Planned Parenthood.

Quelles informations ont été volées lors de la violation de données du LSC ?

L'ampleur des informations divulguées est alarmante. Les noms, adresses, numéros de téléphone, adresses e-mail, dates de naissance et numéros de sécurité sociale des personnes concernées ont pu être volés. De plus, les numéros de permis de conduire, de carte d'identité ou de passeport délivrés par le gouvernement, ainsi que des informations détaillées sur leur assurance maladie, ont également été compromis.

Pour certains patients, la faille s'est étendue encore plus loin, révélant des informations sur le diagnostic et le traitement, les dates et lieux des prestations médicales, les numéros de dossiers médicaux et les résultats d'analyses. Ce type de données est particulièrement sensible, car il pourrait être utilisé pour usurper l'identité médicale ou faire chanter les victimes.

Des données financières figuraient également parmi les informations volées. Numéros de comptes bancaires, informations de cartes de paiement, relevés de facturation, numéros de réclamation et autres identifiants financiers personnels pourraient désormais être entre les mains de cybercriminels. LSC a également confirmé que des informations relatives aux personnes à charge ou aux bénéficiaires de ses employés ont été consultées lors de l'attaque.

Les patients de Planned Parenthood parmi les personnes concernées

LSC a constaté qu'une partie des données compromises concernait des patients de certains centres de Planned Parenthood. L'organisation a souligné que tous les centres n'étaient pas concernés : seuls ceux bénéficiant des services d'analyses de laboratoire de LSC étaient potentiellement exposés.

« Veuillez noter que cet incident n'a pas concerné tous les centres Planned Parenthood », a déclaré l'organisation dans sa notification officielle de violation. « Il est possible qu'il n'ait affecté que les centres bénéficiant de services de tests en laboratoire de LSC. »

Bien que LSC n'ait pas encore révélé la méthode précise utilisée lors de la cyberattaque, ni si une tentative d'extorsion a eu lieu, l'organisation a fait appel à des experts en cybersécurité pour enquêter sur l'incident et surveiller toute utilisation abusive potentielle des données volées. À ce jour, aucune preuve n'indique que les informations compromises aient été diffusées ou vendues sur le dark web.

LSC répond avec des services de protection et de surveillance de l'identité

Dans un dossier réglementaire déposé auprès du bureau du procureur général du Maine, LSC a confirmé que 1,6 million de personnes étaient concernées. L'organisation offre aux personnes concernées des services gratuits de surveillance du crédit et de protection de l'identité médicale pendant 12 ou 24 mois, selon le type d'informations compromises.

Malgré ces efforts, cette faille soulève des questions cruciales sur la manière dont les prestataires de soins sécurisent les données des patients et sur la capacité du secteur à contrer des cybermenaces de plus en plus sophistiquées. Le vol de dossiers médicaux et financiers présente un double risque pour les victimes, qui peuvent désormais être confrontées à des menaces d'usurpation d'identité, de fraude, voire pire.

Alors que les enquêtes se poursuivent, les personnes concernées sont invitées à rester vigilantes, à surveiller attentivement leurs comptes financiers et médicaux et à bénéficier des services de protection offerts. Cet incident rappelle une fois de plus l'importance des enjeux liés à la cybersécurité dans le secteur de la santé et la nécessité de mettre en place des défenses plus solides et proactives à tous les niveaux.