Violation de données chez DXS International : Leçons tirées pour le secteur de la santé

Face à la multiplication des incidents graves dans le secteur de la santé, les organisations doivent apprendre à gérer la sécurité de l'information, la protection des données et les risques liés à l'IA comme un enjeu de gouvernance intégré. Comment y parvenir ?

Par Kate O'Flaherty

Le 14 décembre 2025, DXS International — qui fournit des informations sur les soins de santé et une aide à la décision clinique pour environ 10 % de toutes les orientations du NHS en Angleterre — a subi une fuite de données affectant les serveurs de ses bureaux.

Dans un dossier Lors d'une réunion avec la Bourse de Londres, DXS International a affirmé que la faille avait été « immédiatement contenue » grâce à un effort conjoint de ses équipes de sécurité informatique internes, en étroite collaboration avec le NHS England. Mais peu après, le groupe de ransomware DevMan a été alerté. revendiqué avoir dérobé 300 Go de données, dont des budgets internes et des fichiers financiers.

Bien que l'incident lui-même ait eu un impact minime et que les services cliniques de première ligne de l'entreprise soient restés opérationnels, il constitue un excellent exemple de la façon dont les risques liés à des tiers peuvent se propager en cascade à travers la chaîne d'approvisionnement.

Face à la multiplication de tels incidents, les organismes de santé doivent apprendre à gérer la sécurité de l'information, la protection des données et les risques liés à l'IA comme un enjeu de gouvernance intégré. Comment y parvenir ?

Un problème majeur

Comme les services de DXS International sont restés opérationnels, il est tentant de minimiser l'incident. Cependant, même si les services cliniques de première ligne ont pu être maintenus, d'autres problèmes pourraient survenir ultérieurement, explique Skip Sorrels, directeur technique et responsable de la sécurité des systèmes d'information chez Claroty. « Toute atteinte à l'infrastructure administrative des soins de santé engendre des risques à long terme tels que l'usurpation d'identité, les campagnes d'hameçonnage et l'érosion de la confiance des patients. »

Sorrels souligne que « opérationnel » ne signifie pas « sûr » : « Les attaquants ciblent délibérément les systèmes administratifs les plus vulnérables car ils savent que ces fournisseurs n'ont souvent pas le même niveau de rigueur en matière de sécurité que l'infrastructure clinique qu'ils prennent en charge. »

Kevin Curran, membre senior de l'IEEE et professeur de cybersécurité à l'Université d'Ulster, partage cet avis : « Les données volées peuvent être utilisées à mauvais escient et compromettre la confidentialité des données des patients pendant des années. »

Il explique comment les répercussions financières, notamment les coûts d'enquête, les frais juridiques et les amendes potentielles, pourraient mettre à rude épreuve des ressources déjà sous pression dans les services de santé publique. « De plus, cela met en lumière des problèmes systémiques dans l'infrastructure de santé numérique, incitant à un examen plus approfondi de la manière dont les technologies interconnectées traitent les informations sensibles. »

Risques liés aux tiers

Le système de santé britannique a continuellement renforcé ses efforts en matière de cybersécurité depuis… Attaque WannaCry ransomware Le NHS a été touché en 2017. Les organismes de réglementation accordent une attention croissante aux chaînes d'approvisionnement et reconnaissent que les vulnérabilités des fournisseurs de services gérés ou des fournisseurs critiques peuvent avoir des répercussions importantes, explique Katharina Sommer, responsable des affaires gouvernementales du groupe NCC.

Les risques liés aux tiers et à la chaîne d'approvisionnement représentent « l'un des défis de sécurité les plus urgents dans le secteur de la santé », car ce dernier dépend de plus en plus de fournisseurs externes pour des services essentiels, explique Curran.

« Les attaques ciblant la chaîne d'approvisionnement logicielle sont extrêmement dangereuses et de plus en plus fréquentes car elles exploitent l'interconnexion du développement logiciel moderne », explique Curran. IO« Ces attaques ciblent les vulnérabilités des dépendances, des processus de compilation ou des composants tiers, permettant souvent aux attaquants de compromettre plusieurs entreprises via un point de défaillance unique. »

Au-delà de l'impact immédiat, des problèmes peuvent être causés par des organisations plus petites ayant « une empreinte systémique importante, mais une maturité en matière de sécurité limitée », explique Tracey Hannan-Jones, directrice du conseil en sécurité de l'information et GRC et DPO du groupe chez UBDS Digital.

Pour ne rien arranger, le secteur de la santé est confronté à un problème de visibilité, selon Sorrels de Claroty. « La plupart des établissements de santé peinent à appréhender pleinement le niveau de sécurité de leurs prestataires tiers et quaternaires. On ne peut pas externaliser un service et penser externaliser également le risque. »

Attentes réglementaires

Outre la sécurité de la chaîne d'approvisionnement, la réglementation impose de plus en plus aux services essentiels, comme les soins de santé, de prendre des mesures supplémentaires pour renforcer leur résilience. En cas de violation de données, les acteurs du secteur sont tenus de protéger les données et de respecter des obligations de déclaration strictes.

La violation de données chez DXS International donne un aperçu des attentes réglementaires en matière de données de santé au Royaume-Uni et dans l'UE, notamment en vertu de la Règlement Général de Protection des Données Le RGPD et les lois britanniques de protection des données qui lui sont associées imposent aux organisations traitant des données personnelles, notamment des données de santé, de mettre en place des mesures de protection robustes et de réagir de manière transparente aux incidents, explique Curran, de l'Université d'Ulster.

Dans ce cas précis, la « notification rapide » de DXS au Bureau du commissaire à l'information (ICO) et aux forces de l'ordre est conforme à l'article 33 du RGPD, qui exige un signalement de violation dans les 72 heures s'il existe un risque pour les droits et libertés des individus, explique Curran.

De même, les exigences du Royaume-Uni en vertu de Loi sur la protection des données 2018 Selon Curran, il est essentiel de mettre l'accent sur la responsabilité, en obligeant les entités à documenter et à atténuer les risques liés au traitement des données. « L'évaluation en cours de l'incident par l'ICO illustre comment les autorités de régulation examinent non seulement la violation elle-même, mais aussi l'adéquation des mesures prises, notamment les protocoles de confinement et d'enquête », explique-t-il. IO.

Les organismes de réglementation exigent de plus en plus de preuves de gestion proactive des risques, car les approches réactives se sont révélées insuffisantes face à l'évolution des menaces, comme en témoigne le nombre croissant d'incidents cybernétiques dans le secteur de la santé, selon Curran.

Risques interconnectés

Cette situation survient à un moment où les risques liés à la cybersécurité, à la protection de la vie privée et à l'IA deviennent indissociables dans le secteur de la santé, du fait des systèmes connectés, du partage de données et de l'automatisation. Parallèlement, les outils basés sur l'IA redéfinissent les profils de risque.

L’incident impliquant DXS International illustre cette convergence, où une faille de sécurité chez un fournisseur pourrait « potentiellement exposer des réseaux intégrés gérant des données de patients, mêlant menaces de cybersécurité et préoccupations relatives à la protection de la vie privée », explique Curran.

Le partage de données entre écosystèmes – entre prestataires, fournisseurs et même entités transfrontalières – contribue à estomper davantage les frontières traditionnelles, souligne-t-il. « Dans le cadre de dispositifs tels que celui du NHS… » Réseau de santé et de services sociaux« L’information circule de manière dynamique. Cette interconnexion peut entraîner un incident de cybersécurité ayant des répercussions en cascade sur la protection de la vie privée, comme la divulgation involontaire de dossiers médicaux sensibles. »

Face à ce risque, le traitement cloisonné des risques liés à la cybersécurité, à la protection de la vie privée et à l'IA au sein des environnements de soins de santé « engendre d'importantes zones d'ombre », explique Curran.

Les entreprises doivent donc adopter une approche intégrée de la gouvernance des risques. Cela implique l'utilisation de cadres intégrés qui regroupent la sécurité de l'information, la protection des données et la gouvernance de l'IA afin de favoriser la résilience, la confiance et la conformité à long terme.

Par exemple, les organisations doivent considérer les agents d'IA et les humains comme « une main-d'œuvre combinée qui interagit avec les logiciels et l'infrastructure », explique Javvad Malik, conseiller principal en matière de sécurité de l'information chez KnowBe4. « Pour cela, nous avons besoin d'une responsabilité claire, d'une assurance des fournisseurs et d'une supervision qui rassemble les données, les humains et l'IA afin de soutenir la confiance et la résilience. »

Des cadres tels que celui du Centre national de cybersécurité Cadre d'évaluation de la cybersécurité, ISO 27001 et le NIST Cadre de cybersécurité « Nous fournissons des outils pratiques pour intégrer les contrôles, les politiques et les indicateurs de risque », explique Sommer du groupe NCC. « Cela aide les organisations à instaurer la confiance, à démontrer leur conformité et à gérer les cyber-risques de manière cohérente et justifiée. »

Curran, de l'université d'Ulster, conseille de mettre en place des « équipes transversales » composées d'experts en cybersécurité, en protection de la vie privée et en intelligence artificielle afin de collaborer aux évaluations des risques, garantissant ainsi que les menaces soient évaluées à travers « une perspective multifacette ».

Résilient, digne de confiance et prêt pour l'avenir

Les organismes de santé et leurs fournisseurs doivent s'efforcer de mettre en place des pratiques de gestion des risques plus résilientes, fiables et adaptées à l'avenir.

Pour réussir, les organisations doivent adopter une approche unifiée du risque, affirme Ivan Milenkovic, vice-président des technologies de gestion des risques pour la zone EMEA chez Qualys. « Au lieu de réinventer la roue, les meilleures équipes intègrent les normes internationales établies en matière de sécurité, de confidentialité et les nouvelles technologies de gestion par IA au sein d'un système unique. »

L'élément central de cette démarche consiste à intégrer la gestion des risques dans la culture organisationnelle grâce à des politiques unifiées qui imposent des « audits réguliers et intégrés », conseille Curran, de l'Université d'Ulster.

Parallèlement, mettez en place un modèle de responsabilité partagée avec vos fournisseurs, conseille Sorrels de Claroty. « Ne considérez pas les contrats fournisseurs comme des contrats à long terme. Exigez une transparence continue, des preuves de tests de sécurité et la preuve qu'ils respectent les normes minimales. »