La santé en tête des coûts de violation de données
Pour la 14e année consécutive, le secteur de la santé affiche les coûts de violation de données les plus élevés. Le rapport IBM 2025 établit la moyenne à 7,42 millions de dollars par incident. C'est en baisse par rapport aux 9,77 millions de 2024. Mais cela reste bien au-dessus de tous les autres secteurs.
La moyenne mondiale toutes industries confondues : 4,44 millions de dollars.
Chiffres clés
| Indicateur | Valeur | Source |
|---|---|---|
| Coût moyen d'une violation | 7,42 M$ | IBM 2025 |
| Coût par dossier exposé | 398 $ | IBM 2025 |
| Jours pour détecter et stopper | 279 jours | IBM 2025 |
| Grandes violations (2025) | 710 | HHS OCR |
| Personnes touchées (2025) | 62 millions | HHS OCR |
| Attaques par ransomware | 445 | Comparitech 2025 |
Les violations dans le secteur de la santé prennent 279 jours à détecter et stopper. C'est cinq semaines de plus que la moyenne mondiale. Près de 10 mois d'exposition au risque.
Pourquoi les dossiers médicaux se vendent si cher
Les dossiers médicaux se vendent 10 à 40 fois plus cher que les données de carte bancaire sur le dark web. La raison est simple : un seul dossier contient beaucoup d'informations.
Des données d'identité complètes
Chaque dossier peut contenir :
- Nom complet, date de naissance, numéro de sécurité sociale
- Adresse, téléphone et e-mail
- Informations sur l'assurance et l'employeur
- Données sur les membres de la famille
De nombreux types de fraude
Les dossiers volés permettent :
- L'usurpation d'identité médicale
- La fraude à l'assurance
- La fraude à l'ordonnance
- La fraude fiscale avec les numéros de sécurité sociale
Des données permanentes
On peut annuler une carte bancaire. On ne peut pas changer son passé médical, son numéro de sécurité sociale ou sa date de naissance. C'est pourquoi ces données restent utiles aux criminels pendant des années.
L'attaque contre Change Healthcare
La plus grande violation de données de l'histoire de la santé a frappé Change Healthcare en février 2024. Le groupe de ransomware BlackCat/ALPHV a mené l'attaque.
| Indicateur | Valeur |
|---|---|
| Dossiers touchés | 192,7 millions |
| Coût total | 3,1 milliards $ |
| Rançon payée | 22 millions $ |
| Systèmes hors ligne | Semaines |
L'attaque a coupé le traitement des remboursements et des ordonnances aux États-Unis. Les prestataires ne pouvaient plus soumettre de factures. Les patients ne pouvaient pas obtenir leurs médicaments. Les flux de revenus se sont arrêtés.
Le groupe a pris les 22 millions de rançon — puis a quand même publié les données en ligne. Payer n'a pas aidé.
Comment les ransomwares ont évolué
Les ransomwares dans le secteur de la santé ont beaucoup changé de 2024 à 2025.
| Indicateur | 2024 | 2025 | Évolution |
|---|---|---|---|
| Taux de chiffrement | 74 % | 34 % | −54 % |
| Taux d'exfiltration | 94 % | 96 % | +2 % |
| Rançon demandée (moy.) | 4 M$ | 343 K$ | −91 % |
| Rançon payée (moy.) | 1,47 M$ | 150 K$ | −90 % |
Les attaquants se concentrent désormais sur le vol de données, pas le verrouillage des fichiers. Les sauvegardes s'étant améliorées, les verrous de fichiers sont moins efficaces. Les données volées gardent leur valeur longtemps après l'attaque.
Le taux d'exfiltration de 96 % signifie que presque toutes les attaques volent maintenant des données.
Les 18 identifiants HIPAA
HIPAA liste 18 types d'informations de santé protégées (PHI) nécessitant une protection. Toute donnée de santé liée à ces identifiants devient PHI au sens de la loi.
| N° | Identifiant | Exemples |
|---|---|---|
| 1 | Noms | Nom du patient, noms de famille |
| 2 | Données géographiques | Adresse, ville, code postal |
| 3 | Dates | Naissance, visite, sortie |
| 4 | Numéros de téléphone | Tous les numéros |
| 5 | Numéros de fax | Tous les numéros |
| 6 | Adresses e-mail | Toutes les adresses |
| 7 | Numéro de sécurité sociale | Tous les SSN |
| 8 | Numéros de dossier médical | MRN, numéros de fiche |
| 9 | Identifiants d'assurance maladie | Numéros de bénéficiaire |
| 10 | Numéros de compte | Comptes patients |
| 11 | Numéros de licence | Permis de conduire, etc. |
| 12 | Identifiants de véhicule | VIN, plaques d'immatriculation |
| 13 | Identifiants d'appareils | Numéros de série médicaux |
| 14 | URLs | URLs du portail patient |
| 15 | Adresses IP | Toutes les adresses IP |
| 16 | Données biométriques | Empreintes, empreintes vocales |
| 17 | Photos du visage | Et images similaires |
| 18 | Autres identifiants uniques | Codes, caractéristiques |
Les fournisseurs tiers sont le maillon faible
Voici un chiffre clé pour tout CISO du secteur de la santé :
Plus de 80 % des PHI volées provenaient de fournisseurs tiers, pas des hôpitaux.
Change Healthcare n'a pas touché des hôpitaux individuels. Il a frappé une chambre de compensation qui traite les remboursements pour des milliers de prestataires. La défaillance d'un seul fournisseur s'est propagée à tous.
La sécurité de vos PHI n'est aussi solide que votre fournisseur le plus faible.
Les amendes HIPAA augmentent
Le Bureau des droits civils du HHS (OCR) passe à l'action. En 2025 :
| Indicateur | Valeur |
|---|---|
| Cas avec pénalités | 21 |
| Total des pénalités | 8,33 millions $ |
| Priorité principale | Lacunes dans l'analyse des risques |
L'OCR cible les organisations qui sautent les analyses de risques requises. C'est une exigence fondamentale de la Security Rule — et une lacune fréquente.
Comment anonym.legal protège les PHI
Les 18 identifiants HIPAA
anonym.legal couvre les 18 types d'identifiants HIPAA avec validation par somme de contrôle. Noms, dates, SSN, numéros de dossier médical, téléphone, fax, e-mail — tout est pris en charge. Consultez notre guide de conformité HIPAA pour plus de détails.
Chiffrement réversible
De nombreuses équipes doivent restaurer des données pour des études, des audits ou des révisions juridiques. anonym.legal utilise le chiffrement AES-256-GCM, qui peut être annulé avec les bonnes clés d'accès.
Conformité Safe Harbor
La méthode HIPAA Safe Harbor exige la suppression des 18 types d'identifiants. Le preset HIPAA d'anonym.legal le fait automatiquement :
- Noms → [PERSON]
- Dates → Année seulement
- Codes postaux → 3 premiers chiffres (si population >20 000)
- Identifiants directs → Jetons chiffrés
Traitement local
À 7,42 M$ par violation, vous ne pouvez pas envoyer des PHI à des serveurs externes. L'application Desktop d'anonym.legal fonctionne sur votre propre machine. Les données de santé ne quittent jamais votre réseau.
Le coût de l'inaction
| Scénario | Coût |
|---|---|
| Violation moyenne dans la santé | 7,42 M$ |
| Plan Business anonym.legal | 29 €/mois |
| Coût annuel | 348 € |
| Seuil de rentabilité | 0,005 % de prévention |
Si anonym.legal empêche seulement 0,005 % du coût d'une violation, il est rentable. L'attaque Change Healthcare a coûté 3,1 milliards de dollars. De meilleurs contrôles PHI auraient pu l'arrêter.
Commencer maintenant
- Télécharger l'application Desktop — Les fichiers restent sur votre machine
- Installer le module Office — Protéger les documents cliniques
- Démarrer l'essai gratuit — 200 jetons pour tester