Les données médicales et personnelles de patients d’Innomar Strategies – une importante entreprise canadienne du secteur pharmaceutique – ont été volées à la suite d’une intrusion dans le système informatique de la société mère. Des victimes potentielles avec lesquelles s’est entretenue La Presse ne savaient pas que cette entreprise avait accès à ces informations sensibles.

« Je me suis déjà fait voler mes informations avec la fuite de Desjardins et là, j’apprends que ce sont les informations de mon dossier médical qui auraient été volées chez une entreprise que je ne connais même pas », laisse tomber un patient qui ne veut pas être nommé, par crainte de rompre le lien de confiance avec son médecin.

Depuis qu’on lui a diagnostiqué un cancer, il y a quelques années, l’homme a subi une batterie de traitements et a participé à plusieurs études.

« Je vous assure que tout va vite quand on se retrouve dans cette situation-là. Le médecin nous propose des programmes et on signe ce qu’il faut pour avoir accès au traitement. Je me dis que j’ai dû signer quelque chose qui fait que mes renseignements se sont retrouvés chez cette entreprise. »

L’entreprise en question est Innomar Strategies. Cette filiale canadienne de Cencora – géant américain de la distribution de médicaments qui s’appelait AmerisourceBergen jusqu’à l’an dernier – gère des dizaines de programmes de soutien au patient (PSP).

Les PSP sont des programmes qui évoluent en marge du réseau de santé publique et qui assurent le suivi de la prise de coûteux médicaments de spécialité qui traitent des maladies complexes. Pour qu’un patient puisse y participer, le médecin lui fait généralement signer un formulaire de consentement.

Des « données extraites »

En début de semaine, Innomar a envoyé une lettre à des patients dans laquelle elle explique avoir constaté que des « données ont été extraites » des systèmes informatiques de la maison mère, le 21 février 2024. Elle assure avoir pris des mesures de contrôle et enquêté « avec l’aide des corps policiers, d’experts en cybersécurité et d’avocats externes ».

Résultat : en avril, l’entreprise en est arrivée à la conclusion que des renseignements avaient « été touchés par l’incident ». Près de deux mois se sont écoulés avant qu’Innomar ne communique avec ses patients.

La lettre transmise par l’entreprise explique que les renseignements personnels de patients – nom, adresse courriel et postale, numéro de téléphone, date de naissance, etc. – sont à risque, mais également leurs renseignements médicaux.

Dans la missive, il est écrit : « D’après notre enquête, des renseignements personnels, y compris des renseignements personnels sur votre santé, ont été touchés, dont possiblement […] l’endroit des services que vous avez reçus, votre diagnostic/état de santé, vos médicaments/ordonnances, votre numéro de dossier médical, vos numéros de patient, votre numéro d’assurance maladie, votre signature, vos résultats de laboratoire et vos antécédents médicaux. »

« Il n’y a rien de rassurant là-dedans », confie une patiente qui ne veut pas être nommée pour ne pas nuire au médecin qui lui a fait signer le formulaire pour l’inscrire à un programme de soins. Celle-ci reçoit des doses pour combattre une maladie de peau. « Je me demande vraiment ce qu’ils détiennent comme informations médicales et ce que quelqu’un peut faire avec mes informations. »

Elle ajoute : « C’est étrange comme sentiment parce que ça me dérange plus que si c’était des informations financières. De ce que j’en comprends, ils ont accès à mes prises de sang, mes diagnostics… Ce sont des informations auxquelles seuls moi et mon médecin devrions avoir accès. Je ne savais même pas que l’entreprise avait accès à ces informations-là. »

Pas surprenant

Le directeur des relations publiques chez Cencora, Mike Iorfino, a envoyé un courriel à La Presse dans lequel il résume pour l’essentiel ce qui est détaillé dans la lettre envoyée aux patients. De ce fait, il a été impossible de connaître le nombre de patients canadiens dont les données sont potentiellement exposées.

Il ajoute qu’il n’y a « aucune preuve que les informations ont été divulguées publiquement ou utilisées à mauvais escient ou à des fins frauduleuses » et il assure que Cencora et Innomar offrent aux patients un accès à des ressources « pour les aider à protéger leurs informations ».

Important acteur canadien de l’industrie pharmaceutique, Innomar gère des dizaines de programmes de soins aux patients financés par des fabricants de médicaments comme Abbvie, Bristol-Myers, Pfizer, Sandoz, Sanofi et Takeda. L’entreprise est aussi propriétaire de centaines de cliniques de perfusion et de pharmacies au pays.

Le spécialiste en cybersécurité et chargé de cours à l’Université de Sherbrooke Steve Waterhouse n’est pas surpris par l’évènement.

Il y a un important marché de la revente pour les informations médicales, parce qu’elles servent surtout à compléter d’autres dossiers qui peuvent servir à l’usurpation d’identité.

Steve Waterhouse, expert en cybersécurité

« Quelqu’un ajoute des informations d’une autre nature qu’il peut recouper avec celles qui proviennent des fuites de Desjardins, de Capital One, Bell, Facebook, Vidéotron, etc. », précise-t-il.

Dans les dernières années, plusieurs vols ou fuites de données avaient pour cible des données médicales, souligne-t-il. Il cite le récent exemple du vol de données personnelles de patients de cinq hôpitaux de l’Ontario à la suite d’une attaque qui visait Transform, l’organisme qui gère les services informatiques de ces institutions.