Novo Nordisk prend contact avec les autorités suite à une violation de données présumée de 1 To

Novo Nordisk prend contact avec les autorités suite à une violation de données présumée de 1 To

Le géant pharmaceutique Novo Nordisk a confirmé être en contact avec les autorités compétentes après qu'un groupe de pirates informatiques a affirmé avoir volé et publié plus d'un téraoctet de données de l'entreprise. Le fabricant de médicaments, surtout connu pour ses traitements contre le diabète et la perte de poids, indique surveiller ses systèmes et maintenir ses activités normales pendant qu'il enquête sur l'incident signalé.

La situation soulève des questions urgentes sur la manière dont les entreprises de santé et pharmaceutiques traitent les données sensibles, et sur ce que les patients et les employés peuvent faire lorsque des organisations en qui ils ont confiance deviennent des cibles.

Ce que Novo Nordisk a déclaré jusqu'à présent

La réaction de Novo Nordisk a été mesurée. L'entreprise a confirmé avoir pris connaissance des allégations et a déclaré collaborer avec les autorités dans le cadre de sa réponse. Au-delà d'avoir reconnu qu'un groupe de pirates aurait publié des données, Novo Nordisk n'a pas fourni de confirmation détaillée sur la nature exacte des informations concernées ou sur la manière dont la violation aurait pu se produire.

Ce type de divulgation prudente et limitée est fréquent dans les premières phases d'un incident cybernétique en entreprise. Les sociétés sont confrontées à des pressions contradictoires : l'obligation légale d'informer les personnes concernées, la nécessité opérationnelle d'enquêter avant de faire des déclarations définitives, et le risque réputationnel de trop communiquer ou de paraître minimiser un événement grave. Il en résulte souvent une période d'attente qui laisse les personnes potentiellement touchées sans réponses claires.

Comme rapporté séparément, cet incident présente des caractéristiques propres à une campagne de cyber-extorsion, dans laquelle les attaquants volent des données et menacent de les publier si leurs exigences ne sont pas satisfaites. Ce schéma est devenu de plus en plus courant dans tous les secteurs, mais il revêt une importance particulière dans la santé et l'industrie pharmaceutique, où les données concernées peuvent inclure des dossiers cliniques, des identifiants de patients et des recherches exclusives.

Pour un contexte plus large sur les allégations entourant cette violation, y compris des détails rapportés sur les types de données prétendument impliquées, Novo Nordisk Hit by 1.3TB Breach: Clinical Trial Data Stolen fournit des informations complémentaires.

Pourquoi les violations de données pharmaceutiques sont particulièrement graves

La plupart des gens associent les violations de données à des informations financières, des mots de passe ou des comptes de réseaux sociaux. Une violation impliquant une grande entreprise pharmaceutique entraîne des conséquences différentes et potentiellement plus durables.

Les entreprises pharmaceutiques détiennent un éventail de catégories sensibles : dossiers des participants aux essais cliniques, antécédents médicaux, données personnelles des employés, recherches exclusives sur le développement de médicaments, et dans certains cas, des informations sur les professionnels de santé en contact avec l'entreprise. Contrairement à un numéro de carte de crédit volé, qui peut être annulé et remplacé, les informations de santé sont permanentes. Elles peuvent être utilisées pour des fraudes à l'assurance, des usurpations d'identité ou des attaques de phishing ciblées exploitant la connaissance des antécédents médicaux d'une personne.

Le secteur de la santé est devenu une cible de choix pour les groupes d'extorsion précisément en raison de cette sensibilité. Les enjeux sont si élevés que les organisations peuvent se sentir contraintes de céder aux demandes, et les régulateurs de nombreuses juridictions traitent les violations de données de santé avec une gravité particulière. Une dynamique similaire s'est produite lors de la violation d'iRhythm impliquant des applications cloud tierces, où les informations de santé des patients ont été exposées via des systèmes extérieurs à l'infrastructure directe de l'entreprise.

Ce que cela signifie pour vous

Si vous êtes un patient ayant participé à des essais cliniques de Novo Nordisk, utilisé ses médicaments, ou si votre professionnel de santé a été en contact avec l'entreprise, il convient de prendre au sérieux la possibilité que vos données fassent partie du vol présumé, avant même de recevoir une notification officielle.

Voici ce que vous pouvez faire dès maintenant :

Surveillez les tentatives de phishing. Les groupes d'extorsion qui publient des données volées les vendent ou les distribuent souvent à d'autres acteurs criminels. Vous pourriez constater une augmentation des e-mails ou messages faisant référence à votre état de santé, vos médicaments ou vos informations personnelles. Traitez toute sollicitation non sollicitée concernant votre santé avec une méfiance accrue.

Examinez vos relevés d'assurance maladie. Des demandes frauduleuses utilisant des données de santé volées peuvent apparaître des mois après une violation. Recherchez des services que vous n'avez pas reçus ou des prestataires que vous n'avez pas consultés.

Vérifiez les notifications officielles. Selon votre lieu de résidence, Novo Nordisk peut être légalement tenu d'informer les personnes dont les données ont été touchées. Les organismes de réglementation, que ce soit en vertu du RGPD dans l'UE ou de la loi HIPAA aux États-Unis (le cas échéant), fixent des délais de notification. Surveillez toute communication officielle de l'entreprise ou des autorités sanitaires compétentes.

Utilisez des identifiants forts et uniques. Si vous possédez un compte chez Novo Nordisk ou sur un portail de santé associé, changez immédiatement votre mot de passe et activez l'authentification multifacteur.

Envisagez un audit de confidentialité. Cet incident est l'occasion de passer en revue les données que vous partagez avec toute organisation, pharmaceutique ou autre, et de minimiser le partage inutile de données lorsque c'est possible.

Une tendance plus large à surveiller

Novo Nordisk n'est pas un cas isolé. Les grandes entreprises pharmaceutiques et de santé ont fait face à une vague croissante de tentatives de cyber-extorsion et de vol de données ces dernières années. Ces organisations détiennent d'énormes volumes d'informations sensibles, souvent répartis sur des chaînes d'approvisionnement mondiales complexes, des réseaux de partenaires et des systèmes informatiques hérités difficiles à sécuriser de manière uniforme.

Ce qui rend cet incident notable, c'est l'ampleur du vol présumé et l'implication des autorités dans ce qui est probablement plusieurs juridictions, compte tenu des activités mondiales de Novo Nordisk. L'issue de cette enquête influencera probablement la manière dont les entreprises similaires abordent leur propre posture de sécurité des données.

Pour les individus, le principal enseignement est que la protection de la vie privée ne peut pas être entièrement déléguée aux organisations qui détiennent vos données. Développer des habitudes personnelles de minimisation des données, d'hygiène des identifiants et de vigilance face à l'ingénierie sociale devient de plus en plus essentiel, que vous travailliez dans la technologie ou que vous receviez simplement des soins médicaux. Restez attentif aux mises à jour officielles de Novo Nordisk et des organismes de réglementation concernés à mesure que cette situation continue d'évoluer.