Un incident de cybersécurité majeur secoue l’un des plus grands assureurs santé indiens. Star Health and Allied Insurance mène actuellement une enquête approfondie suite à la fuite présumée de données médicales sensibles de ses clients, incluant rapports médicaux et détails d’assurance.
Un groupe de hackers a récemment créé des chatbots sur la plateforme de messagerie Telegram pour divulguer des données personnelles de souscripteurs Star Health, comprenant leurs noms complets, numéros de téléphone, adresses ainsi que rapports médicaux, demandes d’assurance, copies de pièces d’identité et détails fiscaux. Une violation de vie privée d’une ampleur alarmante pour les 170 millions d’assurés couverts à ce jour par la compagnie basée à Chennai.
Star Health engage une action en justice
Face à cette fuite massive, Star Health a rapidement réagi en portant plainte contre Telegram pour avoir hébergé les chatbots incriminés, ainsi que contre Cloudflare dont les services ont été utilisés par les hackers pour leur site web. La justice indienne a ordonné des injonctions à l’encontre des deux sociétés pour restreindre l’utilisation de leurs plateformes à des fins de partage de données et de la marque Star Health.
Bien que le site des hackers ait été bloqué par certains fournisseurs Internet en Inde suite à cette action, il restait accessible via d’autres au moment de la rédaction. L’organisme gouvernemental indien de cybersécurité CERT-In a déclaré être « en train de prendre les mesures appropriées » concernant cette affaire.
Une enquête en cours dans un contexte sensible
Star Health, qui compte plus de 14 000 hôpitaux dans son réseau et 850 agences à travers l’Inde, a traité plus de 3,6 milliards de dollars de demandes d’assurance à ce jour. Contactée par TechCrunch, la société a confirmé qu’une « enquête judiciaire » était en cours mais qu’il serait « prématuré de communiquer sans avoir complété une investigation approfondie », compte tenu de son statut d’entité cotée en bourse.
Dans un contexte où les données de santé sont parmi les informations personnelles les plus sensibles et les plus convoitées, cette fuite massive pose question quant à la sécurité des systèmes d’information des assureurs. La protection de la vie privée et des renseignements médicaux confidentiels des assurés doit être une priorité absolue pour ces entreprises gérant des données critiques à grande échelle.
Quelles leçons en tirer pour le secteur de l’assurance ?
Ce type d’incident met en lumière plusieurs enjeux cruciaux pour les assureurs santé à l’ère du numérique :
- Le besoin d’investir massivement dans la cybersécurité et la protection des données sensibles
- L’importance de former les employés aux risques et bonnes pratiques en matière de sécurité informatique
- La nécessité de chiffrer les données critiques et de cloisonner les accès
- L’enjeu de détecter et réagir rapidement en cas d’incident ou de fuite
- Le défi de rassurer les assurés et de maintenir leur confiance après une faille
Au-delà des conséquences pour Star Health, c’est tout le secteur de l’assurance, en Inde comme ailleurs, qui doit tirer les leçons de ce type d’attaque pour renforcer en amont ses garde-fous. La transformation digitale du métier s’accompagne d’une exposition croissante aux menaces informatiques, imposant aux acteurs de placer la cybersécurité au cœur de leur stratégie et de leurs investissements.
Quid de la confiance des assurés à l’avenir ?
Dans un marché ultra-concurrentiel, la réputation et la confiance sont des actifs stratégiques pour les assureurs. Au-delà des démarches juridiques et techniques, le défi pour Star Health sera de rassurer ses millions de clients et de regagner leur confiance après cette fuite de grande ampleur.
La gestion de crise et la communication de l’assureur dans les prochaines semaines seront déterminantes pour limiter l’impact réputationnel de cet incident.
Vishnu Sharma, analyste chez RedSeer
Une transparence sur les causes de la faille, les mesures prises pour protéger les assurés et les garanties pour l’avenir seront essentielles pour maintenir ce lien de confiance durement acquis. Les assureurs doivent réaliser que la sécurité des données n’est pas qu’un enjeu informatique mais un véritable défi « business » dont dépend leur développement dans un monde toujours plus digital.
L’affaire Star Health doit sonner comme un signal d’alarme pour un secteur qui gère au quotidien des données et des processus vitaux pour des millions de citoyens. Dans un monde interconnecté où les cyber-risques évoluent en permanence, la sécurité doit devenir un réflexe intégré à chaque maillon de la chaîne de l’assurance. C’est à ce prix que la promesse d’une protection fiable et sereine pourra continuer d’être au rendez-vous dans la durée pour les assurés, en Inde comme partout ailleurs.