Certaines des plus grandes sociétés pharmaceutiques au monde ont divulgué des violations de données en raison d’une cyberattaque de février 2024 chez Cencora, avec qui elles s’associent pour des services pharmaceutiques et commerciaux.
Cencora, anciennement AmerisourceBergen, est un fournisseur de services pharmaceutiques spécialisé dans la distribution de médicaments, la pharmacie spécialisée, la consultation et le soutien aux essais cliniques.
L’entreprise basée en Pennsylvanie, présente dans 50 pays, emploie 46 000 personnes et réalise un chiffre d’affaires (2023) de 262 milliards de dollars.
En février 2024, Cencora a divulgué une violation de données dans un formulaire 8-K déposé auprès de la SEC, déclarant que des parties non autorisées avaient eu accès à ses systèmes d’information et exfiltré des données personnelles.
À l’époque, l’entreprise avait choisi de ne partager aucune information supplémentaire concernant l’incident et son impact potentiel sur ses clients. De plus, aucun groupe de ransomwares n’a jamais assumé la responsabilité de l’attaque.
Aujourd’hui, le bureau du procureur général de Californie a publié plusieurs échantillons de notification de violation de données soumis au cours des deux derniers jours par certaines des plus grandes sociétés pharmaceutiques des États-Unis, attribuant toutes leur exposition aux données à l’incident Cencora de février.
« Cencora, Inc. et sa filiale Lash Group s’associe à des sociétés pharmaceutiques, des pharmacies et des prestataires de soins de santé pour faciliter l’accès aux thérapies prescrites grâce à la distribution de médicaments, des offres d’essai gratuites, des coupons de co-paiement, un soutien et des services aux patients et d’autres services », lit-on dans une notification de violation de données connexe de Novartis.
« Nous prenons très au sérieux la confidentialité et la protection des informations qui nous sont confiées. Cencora vous écrit pour vous informer d’un événement impliquant vos informations personnelles que Cencora conserve dans le cadre de ses programmes de soutien aux patients pour le compte de Novartis Pharmaceuticals Corporation. »
Les huit entreprises touchées par cette violation, qui utilisent toutes des notifications de violation de données presque identiques, sont:
- Novartis Pharmaceuticals Corporation-L’une des plus grandes sociétés pharmaceutiques au monde, avec une forte présence dans divers domaines thérapeutiques, notamment l’oncologie, les neurosciences et l’immunologie.
- Bayer Corporation – Une grande multinationale exerçant d’importantes activités dans les domaines des produits pharmaceutiques, de la santé des consommateurs et des produits agricoles.
- Société AbbVie Inc. – Connu pour son médicament à succès Humira, AbbVie est un acteur majeur de l’immunologie et de l’oncologie.
- Regeneron Pharmaceuticals, Inc. – Remarquable pour ses traitements innovants en ophtalmologie, oncologie et immunologie.
- La société Genentech, Inc. – Membre du groupe Roche, Genentech est un chef de file en biotechnologie et a apporté une contribution significative au traitement du cancer.
- Incyte Corporation-Se concentre sur l’oncologie et l’hématologie, avec des produits clés comme Jakafi.
- Société pharmaceutique Sumitomo Amérique, Inc. – Une partie de la société pharmaceutique Sumitomo., Ltd., connu pour son portefeuille diversifié en psychiatrie, neurologie et oncologie.
- Acadia Pharmaceuticals Inc. – Spécialisé dans les troubles du système nerveux central et moins présent sur le marché que les autres.
Les avis de violation de données avertissent que l’enquête interne de Cencora, qui s’est terminée le 10 avril 2024, a confirmé que les informations suivantes avaient été exposées: nom complet, adresse, diagnostic de santé, médicaments et ordonnances.
La lettre note qu’à ce jour, il n’y a aucune preuve que les informations exfiltrées ont été divulguées publiquement sur Internet ou qu’elles ont été utilisées à des fins frauduleuses.
En réponse au risque élevé pour les personnes exposées, Cencora offre aux destinataires deux ans de services gratuits de protection de l’identité et de surveillance du crédit via Experian, dont ils peuvent profiter jusqu’au 30 août 2024.
Breachtrace a contacté Cencora pour en savoir plus sur l’incident de violation de données ainsi que sur le nombre de personnes touchées, mais un porte-parole a refusé de fournir des détails supplémentaires, nous renvoyant à un communiqué de presse publié la semaine dernière.