Blog

Fuite de données Kaiser Permanente : un cas de mauvaise communication et de divulgation insuffisante

Le 29 avril, le géant de la santé Kaiser Permanente a divulgué une fuite de données touchant 13,4 millions de membres actuels et anciens de son assurance. L'incident trouve son origine dans une gestion inadéquate de scripts tiers. L'incident Kaiser Permanente utilisait des codes de suivi pour surveiller la façon dont ses membres naviguaient sur son site web et ses applications mobiles. Certaines de ces pages contenaient des données de santé sensibles, ce qui a conduit les scripts tiers à transmettre par inadvertance des informations à des fournisseurs tiers qui n'étaient pas

May 25, 2024 • 4 min read

Simon Wijckmans Founder & CEO

Image de couverture de l'article sur la fuite de données Kaiser Permanente

Le 29 avril, le géant de la santé Kaiser Permanente a divulgué une fuite de données touchant 13,4 millions de membres actuels et anciens de son assurance. L'incident trouve son origine dans une gestion inadéquate de scripts tiers.

L'incident

Kaiser Permanente utilisait des codes de suivi pour surveiller la façon dont ses membres naviguaient sur son site web et ses applications mobiles. Certaines de ces pages contenaient des données de santé sensibles, ce qui a conduit les scripts tiers à transmettre par inadvertance des informations à des fournisseurs tiers qui n'étaient pas censés les recevoir.

Bien que la violation ne soit pas le résultat d'un détournement de script, elle met en lumière une négligence significative dans la gestion des scripts tiers au sein du secteur de la santé et au-delà.

L'incident soulève également un problème plus large : les équipes d'ingénierie se voient souvent demander, de manière ponctuelle, d'implémenter des scripts tiers choisis par les équipes marketing, data ou juridiques. Cela peut amener les ingénieurs à déployer ces scripts sans contexte suffisant, à l'échelle de l'ensemble du site. Ça fonctionne, mais ça accède désormais à des données auxquelles il ne devrait pas.

Les outils adéquats pour détecter ou prévenir ce type de problème n'étaient vraisemblablement pas en place.

Les risques

Le problème central n'était pas une intention malveillante, mais plutôt un manque de compréhension et de divulgation appropriée concernant les codes de suivi utilisés. Les données partagées comprenaient des noms, des adresses IP, les pages visitées, le statut de connexion des utilisateurs et les termes de recherche utilisés dans l'encyclopédie de santé en ligne de Kaiser. Bien que de tels scripts de suivi soient très courants, dans le secteur de la santé, ils doivent se conformer aux réglementations sur la vie privée telles que le Health Insurance Portability and Accountability Act (HIPAA) et d'autres.

Les risques d'une divulgation insuffisante

Les prestataires de soins de santé traitent des informations sensibles, et toute fuite de données peut avoir de graves répercussions. Même si les données partagées par Kaiser ne sont pas nécessairement classifiées comme informations de santé protégées sous forme électronique (ePHI), la violation pourrait tout de même entraîner des sanctions et, très certainement, nuire à la réputation de l'entreprise. L'incident montre que de nombreuses entreprises dotées d'équipes solides en matière de sécurité et de conformité souffrent encore d'une mauvaise gestion des scripts tiers. Un problème que nous observons bien trop souvent.

Une solution concrète

Pour remédier à ce type de problème, les entreprises peuvent mettre en place des politiques de sécurité du contenu (CSP) robustes afin de gérer les scripts tiers sur les pages sensibles. Bien que cette solution présente certains inconvénients, comme des journaux de console bruyants, elle atténue efficacement le risque de partage non autorisé de données.

Idéalement, plutôt que de déployer les scripts de manière globale, il conviendrait d'utiliser le rendu conditionnel — en définissant précisément les pages sur lesquelles les scripts doivent se charger.

En utilisant cside, vous pouvez également gérer vos scripts tiers de manière plus propre. Cela vous permet de voir quels scripts s'exécutent sur des pages spécifiques, tout en protégeant vos utilisateurs contre tout code malveillant susceptible d'être rendu.

cside

cside peut signaler toute détection de scripts sur des pages contenant des informations sensibles. Cela permet de définir des règles fines et générées automatiquement pour bloquer leur exécution, sans journaux de console intempestifs sur les pages contenant des données sensibles.

Pour répondre aux enjeux de sécurité des scripts tiers, notre solution analyse les scripts avant qu'ils n'atteignent le navigateur de l'utilisateur. En proxifiant les scripts et en utilisant l'IA pour détecter les intentions malveillantes, cside s'assure que les menaces potentielles sont neutralisées avant de pouvoir causer des dommages. Cette approche proactive, combinée à une analyse du contexte historique, permet une surveillance efficace et une réponse adaptée aux violations liées aux scripts tiers.

Nous surveillons naturellement aussi tous les scripts, ce qui signifie qu'avec notre solution en place, ce type d'incident aurait pu être évité.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Back to top

Don't just take our word for it, ask AI

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Détection du partage de compte : comment combler la lacune d'application que les limites de sessions simultanées manquent

Les limites de sessions simultanées signalent le cas évident.

Comment Bloquer Applebot-Extended sur Votre Site Web

Applebot-Extended est le crawler d'entraînement IA d'Apple qui alimente Apple Intelligence. Découvrez comment il diffère d'Applebot et comment vous désinscrire via robots.txt.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur la surveillance des scripts tiers sur des domaines de casino

Comment surveiller les scripts tiers sur 100 domaines de casino ou plus

Guide pratique pour surveiller les scripts tiers sur 100+ domaines de casino : prolifération, alertes inter-domaines et mise à l'échelle de cside.

Risques de sécurité de l'IA agentique pour les sites web : confidentialité, conformité et détection

Les navigateurs d'IA agentique contournent le consentement aux cookies, exécutent de vrais scripts JavaScript et créent des lacunes de conformité RGPD invisibles pour la détection de bots au niveau CDN.

Illustration d'un système neuronal de détection de bots en deux étapes séparant les sessions de navigateur humaines et celles des bots

Attraper les bots qui ne veulent pas l'être : au cœur d'une pile de détection neuronale à deux étages

Comment une pile neuronale à deux étages attrape navigateurs furtifs, scrapers résidentiels et agents LLM qui déjouent l'empreinte, et ses limites.

Comment Bloquer DeepSeekBot sur Votre Site Web

DeepSeekBot explore votre site pour une entreprise d'IA chinoise. Découvrez comment le bloquer avec robots.txt, des règles d'IP, et les vrais risques de souveraineté des données qu'il pose.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur la conformité des scripts auprès de la Malta Gaming Authority

Conformité Malta Gaming Authority et sécurité des scripts côté client : ce que les opérateurs agréés MGA doivent couvrir

Les règles MGA exigent une plateforme sécurisée et auditable. Le JavaScript tiers est une lacune que la plupart des opérateurs n'ont pas auditée.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les attaques de scripts tiers contre les plateformes iGaming

Attaques de scripts tiers sur les plateformes iGaming en 2026 : la nouvelle surface d'attaque que les opérateurs négligent

JavaScript tiers est la principale surface d'attaque non surveillée en iGaming. Les sept classes d'attaque et pourquoi les outils les manquent.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les pixels non autorisés dans les jeux et la responsabilité RGPD

GDPR et jeux d'argent en ligne : pourquoi les pixels non autorisés créent un problème de double responsabilité

Les pixels non autorisés sur les sites de jeux d'argent créent une responsabilité GDPR et des suspensions de comptes publicitaires à la fois.

Conformité HIPAA et technologies de suivi web : le guide pour les établissements de santé

L'OCR du HHS a statué que les pixels de suivi et les scripts tiers sur les sites web de santé peuvent exposer des PHI. Ce que les entités couvertes doivent faire pour se conformer.