Fuite de données chez Yale New Haven Health (2025)
Une activité réseau suspecte chez Yale New Haven Health a conduit à la plus grande fuite de données de santé aux États-Unis en 2025 : 5,5 millions de patients ont vu leurs noms, coordonnées, dates de naissance, numéros de dossier médical et numéros de sécurité sociale dérobés. Le système de santé a ensuite accepté un règlement collectif de 18 millions de dollars.
- Victime
- Yale New Haven Health System
- Perte
- $18.0M
- données
- 5.6M
- utilisateurs
- 5.6M
En mars 2025, Yale New Haven Health System — le plus grand système de santé du Connecticut, ancré au New Haven Hospital affilié à Yale — a révélé une fuite de données qui a finalement touché plus de 5,5 millions de patients. Elle est restée la plus grande fuite de données de santé aux États-Unis de 2025 par nombre de personnes affectées.
Ce qui s'est passé
Le 8 mars 2025, Yale New Haven Health a détecté une activité réseau suspecte et fait appel à Mandiant pour enquêter et contenir l'incident. Le système de santé a publié un communiqué sur son site web trois jours plus tard et, le 11 avril 2025, a déposé une notification de fuite auprès de l'Office for Civil Rights du HHS citant 5 556 702 personnes touchées.
Les fichiers volés sur le réseau comprenaient :
- Noms, adresses, numéros de téléphone, adresses e-mail
- Dates de naissance, origine ethnique, type de patient
- Numéros de dossier médical
- Numéros de sécurité sociale
Les dossiers médicaux électroniques eux-mêmes et les informations financières n'ont pas été compromis — mais la combinaison de données d'identité avec les numéros de dossier médical suffit à permettre la fraude à l'identité médicale.
Impact
- 5 556 702 patients touchés — la plus grande fuite de données de santé aux États-Unis de 2025.
- Action collective engagée en quelques semaines.
- Yale New Haven Health a accepté un règlement collectif de 18 millions de dollars. Les membres de la classe peuvent réclamer jusqu'à 5 000 $ pour pertes documentées ou un paiement alternatif d'environ 100 $ en espèces.
- Aucun acteur de menace ni revendication d'extorsion spécifique n'a été publiquement attribué.
Pourquoi c'est important
Yale New Haven a fait les bons gestes opérationnels — engagement rapide de Mandiant, divulgation dans les trois jours et notification du HHS dans le délai requis. Mais la taille de la population touchée montre à quel point les données de santé américaines se sont concentrées : un seul système de santé régional détenait les données d'identité de plus de cinq millions de personnes, dont une grande partie (numéros de sécurité sociale, dates de naissance, numéros de dossier médical) est immuable et restera un risque de fraude pendant des décennies.
Impact financier
Coûts déclarés en USD
- Amendes & règlements$18.0M
Chronologie
Yale New Haven Health détecte une activité réseau suspecte et fait appel à Mandiant pour la réponse à incident.
Le système de santé annonce publiquement l'incident sur son site web.
Notification de la fuite à l'Office for Civil Rights du HHS, citant 5 556 702 personnes touchées — la plus grande fuite de données de santé aux États-Unis de l'année.
Action collective déposée par les patients concernés.
Yale New Haven Health accepte de verser 18 millions de dollars pour clore le litige collectif ; les membres de la classe peuvent réclamer jusqu'à 5 000 $ pour pertes documentées ou ~100 $ en espèces.
Sources
- hipaajournal.comhttps://www.hipaajournal.com/yale-new-haven-health-system-data-breach/
- bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/yale-new-haven-health-data-breach-affects-55-million-patients/
- healthcaredive.comhttps://www.healthcaredive.com/news/yale-new-haven-health-data-breach-5-6-million/746236/
- securityweek.comhttps://www.securityweek.com/5-5-million-patients-affected-by-data-breach-at-yale-new-haven-health/