Radiology, Oncology, DocketWise : trois fuites en une semaine qui redessinent votre risque tiers santé et legal

En sept jours, trois fuites de données aux États-Unis ont confirmé ce que beaucoup de RSSI savent déjà mais hésitent à formaliser : votre exposition réelle ne passe pas par votre périmètre, elle passe par vos fournisseurs santé et legal.

Le 21 mai, Radiology Associates of Richmond a notifié 266 183 patients : noms, numéros de sécurité sociale, données médicales et d'assurance — exfiltrés en juillet 2025, identifiés en avril 2026. Le même jour, The Oncology Institute a confirmé l'impact d'une compromission chez un éditeur tiers (TriZetto), 3,4 millions d'individus concernés au total dans l'écosystème. Le 25 mai, DocketWise — plateforme SaaS de gestion de dossiers d'immigration — a notifié 143 480 personnes après le vol de credentials donnant accès à un dépôt de code utilisé pour migrer des PII vers leur plateforme.

Trois incidents, un seul angle : vos données circulent dans des systèmes que vous ne voyez pas

Pas un attaquant n'a touché votre réseau. Pas un endpoint compromis chez vous. Et pourtant : vos patients, vos clients, vos employés exposés. Le point commun : la donnée sensible vit aujourd'hui chez le fournisseur de votre fournisseur. L'imagerie médicale est sous-traitée, la facturation revenue cycle est sous-traitée, la gestion de dossiers legal est sous-traitée. Et dans chaque maillon, le vendor d'un vendor manipule vos données les plus régulées.

Le motif Radiology est particulièrement instructif : intrusion en juillet 2025, forensics terminée en avril 2026, notification le 21 mai 2026. Près de dix mois entre l'accès initial et la première notification aux victimes. Pendant cette fenêtre, vos contrôles internes ne pouvaient rien voir : le périmètre compromis n'était pas le vôtre.

Les 3 questions que votre direction posera lundi matin

Si tu es RSSI, DPO ou GRC lead dans un secteur régulé (santé, finance, legal, RH), prépare ces trois réponses :

1. Cartographie. Combien de fournisseurs traitent nos données les plus sensibles (PHI, PII, données financières) ? Pour chacun, qui sont leurs sous-traitants ? La réponse honnête est souvent : « on ne sait pas au-delà du tier 1 ».

2. Notification. En cas de brèche chez un de ces fournisseurs, sous quel délai sommes-nous prévenus contractuellement ? Combien de temps avons-nous pour notifier nos propres clients ou autorités (HIPAA 60 jours, GDPR 72h, lois États) ?

3. Preuves. Au-delà du SOC 2 et du questionnaire annuel, qu'est-ce qui nous garantit que ce fournisseur a réellement segmenté nos données, journalisé les accès, testé son IR ? Une attestation signée n'est pas un contrôle.

Une boucle de risque tiers santé/legal applicable cette semaine

Pas besoin de tout refondre. Cinq actions à exécuter dans les 30 jours :

1. Inventaire vrai. Liste tous les fournisseurs qui hébergent, traitent ou transitent vos données régulées. Inclus les sous-traitants déclarés (annexes BAA, DPA). Si la liste fait moins de 20 entrées dans un environnement santé ou legal, elle est incomplète.

2. Classement par criticité. Trois critères : volumétrie de données exposées, sensibilité (PHI, PCI, secret professionnel), part de marché du fournisseur dans votre secteur. Un fournisseur dominant = un risque systémique.

3. Clause de notification serrée. Sur les contrats à renouveler ce trimestre, exige : 24-72h pour la notification initiale, droit d'auditer la posture du sous-traitant, droit de résilier en cas de manquement matériel.

4. Test des chaînes de notification. Une fois par an, simule un incident chez un fournisseur critique. Mesure le temps réel entre la notification initiale et la mise à jour de ton comité de crise.

5. Watch CTI ciblée. Surveille en continu les acteurs (ShinyHunters, Nitrogen, DragonForce…) et les leak sites pour les mentions de tes fournisseurs critiques. Une mention sur un site d'extorsion est souvent le premier signal exploitable.

L'angle CTI : voir l'incident venir

Les brèches tiers ne sont pas des surprises pour les attaquants, elles le sont pour les défenseurs. Quand TriZetto est compromis fin 2025, ses clients ne l'apprennent qu'en mai 2026. Quand DocketWise voit ses dépôts clonés, l'attaquant a déjà eu le temps d'exploiter les credentials migrés. La CTI continue (pas l'audit annuel) permet de voir :

• les mentions de tes fournisseurs critiques sur les marchés d'accès initial,

• les credentials issus de leurs employés circulant sur les plateformes leak,

• l'exploitation active de vulnérabilités sur leur stack technique.

Cette veille raccourcit la fenêtre entre la compromission réelle et ta première action — de plusieurs mois à quelques jours.

Là où FortaRisks intervient

Trois capacités de notre module Risk Management s'appliquent directement après une semaine comme celle-ci :

• Cartographie tiers + sous-traitants. Visualise tes fournisseurs santé et legal critiques, leur cartographie de données, leurs sous-traitants déclarés. Une seule vue, une seule source de vérité.

• Surveillance continue. Score de chaque tiers en continu : posture externe, fuite de credentials, mention sur leak sites, vulnérabilité exploitée sur leur stack technique.

• Coupling CTI + GRC. Quand un acteur publie une victime sur un site d'extorsion, ta cartographie tiers te dit immédiatement si c'est un de tes fournisseurs ou de leurs sous-traitants — pas dans 10 mois.

Une bonne gestion du risque tiers santé et legal n'évite pas tous les incidents. Mais elle réduit la fenêtre entre la fuite et ta réaction de plusieurs mois à quelques jours. Dans des secteurs où chaque jour de retard coûte en sanctions, recours collectifs et confiance, c'est ce que tu achètes en réalité.

🎯 Si tu veux cartographier tes fournisseurs santé et legal critiques et passer du questionnaire annuel à un suivi continu, contactez FortaRisks : https://www.fortarisks.com/contact