Les données médicales et personnelles des patients d’Innomar Strategies – une importante société pharmaceutique canadienne – ont été volées suite à une intrusion dans le système informatique de la société mère. Victimes potentielles interrogées La presse ne savait pas que cette entreprise avait accès à ces informations sensibles.
Publié à 00h59
Mis à jour à 5h00
«Je me suis déjà fait voler mes informations avec la fuite chez Desjardins et maintenant j’apprends que ce sont les informations de mon dossier médical qui auraient été volées dans une entreprise que je ne connais même pas», raconte un patient qui ne le sait pas. souhaite être nommé, de peur de rompre le lien de confiance avec son médecin.
Depuis qu’on lui a diagnostiqué un cancer il y a quelques années, l’homme a subi une batterie de traitements et participé à plusieurs études.
« Je vous assure que tout va vite quand on se retrouve dans cette situation. Le médecin nous propose des programmes et nous signons ce qui est nécessaire pour accéder au traitement. Je me dis que j’ai dû signer quelque chose qui a fait que mes informations se retrouvent dans cette entreprise. »
La société en question est Innomar Strategies. Cette filiale canadienne de Cencora – un géant américain de la distribution de médicaments qui s’appelait jusqu’à l’année dernière AmerisourceBergen – gère des dizaines de programmes de soutien aux patients (PSP).
Les PSP sont des programmes qui fonctionnent en dehors du réseau de santé publique et surveillent l’utilisation de médicaments spécialisés coûteux pour traiter des maladies complexes. Pour qu’un patient puisse participer, le médecin lui fait généralement signer un formulaire de consentement.
« Données extraites »
En début de semaine, Innomar a envoyé une lettre aux patients dans laquelle elle expliquait avoir constaté que « des données avaient été extraites » des systèmes informatiques de la société mère le 21 février 2024. Elle a assuré avoir pris des mesures de contrôle et enquêté « avec l’aide des forces de police, d’experts en cybersécurité et d’avocats externes ».
Résultat : en avril, l’entreprise concluait que l’information avait « été affectée par l’incident ». Près de deux mois se sont écoulés avant qu’Innomar ne contacte ses patients.
Le courrier envoyé par l’entreprise explique que les informations personnelles des patients – nom, adresses email et postale, numéro de téléphone, date de naissance, etc. – sont menacées, mais également leurs informations médicales.
Dans la missive, il est écrit : « Sur la base de notre enquête, des informations personnelles, y compris des informations personnelles sur la santé, ont été affectées, y compris peut-être […] l’emplacement des services que vous avez reçus, votre diagnostic/état de santé, vos médicaments/ordonnances, votre numéro de dossier médical, vos numéros de patient, votre numéro d’assurance maladie, votre signature, vos résultats de laboratoire et vos antécédents médicaux. »
« Cela n’a rien de rassurant », confie une patiente qui ne souhaite pas être nommée pour ne pas nuire au médecin qui lui a fait signer le formulaire d’inscription dans un programme de soins. Elle reçoit des doses pour lutter contre une maladie de peau. « Je me demande vraiment quelles informations médicales ils détiennent et ce que quelqu’un peut faire avec mes informations. »
Elle ajoute : « C’est une sensation étrange car cela me dérange plus que s’il s’agissait d’informations financières. D’après ce que j’ai compris, ils ont accès à mes analyses de sang, à mes diagnostics… Ce sont des informations auxquelles seuls moi et mon médecin devrions avoir accès. Je ne savais même pas que l’entreprise avait accès à ces informations. »
Pas étonnant
Le directeur des relations publiques de Cencora, Mike Iorfino, a envoyé un courriel à La presse dans lequel il résume essentiellement ce qui est détaillé dans la lettre envoyée aux patients. De ce fait, il était impossible de connaître le nombre de patients canadiens dont les données étaient potentiellement exposées.
Il ajoute qu’il n’y a « aucune preuve que les informations ont été divulguées publiquement ou utilisées à des fins frauduleuses » et assure que Cencora et Innomar fournissent aux patients un accès à des ressources « pour les aider à protéger leurs informations ».
Acteur canadien majeur de l’industrie pharmaceutique, Innomar gère des dizaines de programmes de soins aux patients financés par des fabricants de médicaments tels qu’Abbvie, Bristol-Myers, Pfizer, Sandoz, Sanofi et Takeda. La société possède également des centaines de cliniques de perfusion et de pharmacies à travers le pays.
Spécialiste en cybersécurité et chargé de cours à l’Université de Sherbrooke, Steve Waterhouse n’est pas surpris par l’événement.
Il existe un marché de revente important pour les informations médicales, car elles sont principalement utilisées pour compléter d’autres documents pouvant être utilisés à des fins d’usurpation d’identité.
Steve Waterhouse, expert en cybersécurité
«Quelqu’un ajoute une information d’une autre nature qu’il peut recouper avec celle provenant de fuites de Desjardins, Capital One, Bell, Facebook, Vidéotron, etc.», précise-t-il.
Ces dernières années, plusieurs vols ou fuites de données ont ciblé les données médicales, souligne-t-il. Il cite l’exemple récent du vol de données personnelles de patients de cinq hôpitaux ontariens à la suite d’une attaque visant Transform, l’organisation qui gère les services informatiques de ces établissements.
