Le géant pharmaceutique américain Cencora affirme qu'il informe les individus concernés que leurs informations médicales personnelles et hautement sensibles ont été volées lors d'une cyberattaque et d'une violation de données plus tôt cette année.

Dans des lettres envoyées aux individus concernés cette semaine, Cencora a déclaré que les données de ses systèmes incluent les noms des patients, leur adresse postale et date de naissance, ainsi que des informations sur leur diagnostic de santé et leurs médicaments.

Le géant pharmaceutique a déclaré avoir initialement obtenu des données des patients grâce à des partenariats avec les fabricants de médicaments avec lesquels il travaille "dans le cadre de ses programmes de soutien aux patients." Cela inclut les patients d'Abbvie, Acadia, Bayer, Novartis, Regeneron et d'autres entreprises.

Cencora n'a pas encore décrit la nature de la cyberattaque, qui a débuté le 21 février et n'a été rendue publique que lorsque l'entreprise a déposé un avis auprès des régulateurs gouvernementaux une semaine plus tard, le 27 février. L'entreprise, connue sous le nom d'AmerisourceBergen jusqu'en 2023, gère environ 20 % des produits pharmaceutiques vendus et distribués aux États-Unis.

Le porte-parole de Cencora, Mike Iorfino, a déclaré à TechCrunch dans un e-mail que Cencora ne souhaitait pas dire si l'entreprise avait déterminé le nombre d'individus affectés par la violation et combien d'individus l'entreprise avait notifiés à ce jour.

Ceci est le dernier incident de sécurité touchant le secteur de la santé aux États-Unis à la suite d'une série de cyberattaques au cours des derniers mois, suite à la grande violation de données et aux pannes prolongées chez UnitedHealth-owned Change Healthcare et à la cyberattaque récente et en cours qui a mis hors service une grande partie du réseau hospitalier d'Ascension.

Le porte-parole de Cencora a déclaré qu'il n'y a "aucun lien" entre l'incident chez Cencora et les cyberattaques chez Change et Ascension.

Selon les notifications publiques de violation de données déposées par Cencora auprès des autorités étatiques américaines, que TechCrunch a vues, Cencora a jusqu'à présent informé environ un demi-million d'individus depuis la découverte de la violation de données. Le nombre d'individus touchés par la violation de données de Cencora devrait être beaucoup plus élevé. Cencora indique sur son site web avoir traité au moins 18 millions de patients à ce jour.

Cencora a déclaré qu'elle a publié un avis sur son site web expliquant que l'entreprise "n'a pas les informations d'adresse pour fournir un avis direct" à certaines personnes affectées par la violation de données.

Les porte-parole des fabricants de médicaments affectés, Abbvie, Acadia, Bayer et Regeneron, n'ont pas répondu à une demande de commentaire de TechCrunch. Le porte-parole de Novartis, Michael Meo, a confirmé que Novartis avait été "récemment informé d'un incident informatique impliquant les sociétés de services aux patients Cencora et sa filiale, Innomar Strategies au Canada, qui ont toutes deux fourni des services pour Novartis," mais a refusé de commenter davantage ou de dire combien de patients de Novartis sont touchés par la violation de données. Le porte-parole a également refusé de dire si Cencora avait informé Novartis du nombre de ses patients affectés.

Cencora a réalisé un chiffre d'affaires de 262 milliards de dollars en 2023, en hausse de 10 % par rapport à l'année précédente, selon ses derniers résultats financiers. L'entreprise ne précise pas combien elle dépense en cybersécurité.

Mis à jour à 10h15 pour modifier le titre.

Pour contacter ce journaliste, contactez-le sur Signal et WhatsApp au +1 646-755-8849, ou par e-mail. Vous pouvez également envoyer des fichiers et des documents via SecureDrop.