Nous Contacter

Faille de Sécurité Change Healthcare : 100M d’Américains Touchés

Une violation de données historique frappe les États-Unis, exposant les informations médicales sensibles de plus de 100 millions d’Américains. Au cœur du scandale : Change Healthcare, une entreprise de technologie de santé récemment acquise par le géant UnitedHealth. L’État du Nebraska a décidé de poursuivre Change Healthcare en justice, alléguant de graves manquements en matière de sécurité ayant conduit à cette brèche massive.

Chronologie d’une Attaque Dévastatrice

Tout a commencé en février dernier, lorsque des cybercriminels du groupe de ransomware ALPHV, d’origine russe, ont pris pour cible Change Healthcare. Ils ont réussi à s’introduire dans le système en utilisant les identifiants d’un employé du support client de bas niveau, dont le mot de passe avait été divulgué sur un groupe Telegram connu pour vendre des données d’identification volées.

Avec cet accès de base, les pirates ont pu pénétrer le serveur hébergeant l’application de gestion des médicaments SelectRX. De là, ils ont créé des comptes administrateurs privilégiés, leur donnant la possibilité d’accéder à tous les fichiers et même de les supprimer. Pendant plus de 9 jours, les hackers ont navigué dans les systèmes de Change Healthcare sans être détectés, installant des logiciels malveillants et exfiltrant des téraoctets de données sensibles.

Des Failles de Sécurité Béantes

Selon la plainte déposée par Mike Hilgers, procureur général du Nebraska, Change Healthcare a gravement failli à ses obligations en matière de sécurité. L’entreprise avait des systèmes informatiques mal segmentés, permettant aux pirates de se déplacer librement entre les serveurs. De plus, elle n’avait pas mis en place d’authentification multifacteur, ce qui signifie que les systèmes pouvaient être accessibles avec un simple nom d’utilisateur et mot de passe.

Les manquements de Change Healthcare à mettre en place des protections de sécurité de base ont exacerbé l’ampleur de la cyberattaque.

Mike Hilgers, Procureur Général du Nebraska

Un Impact Sans Précédent sur les Patients

Cette violation de données massive a eu des conséquences désastreuses pour des millions d’Américains. Les informations dérobées comprennent :

  • Données personnelles (adresses, numéros de téléphone)
  • Données médicales (diagnostics, médicaments, plans de traitement)
  • Données financières et bancaires

Change Healthcare continue de notifier les personnes touchées, et le nombre final devrait dépasser les 100 millions. L’entreprise est également accusée d’avoir tardé à informer les victimes, le Nebraska ayant dû publier son propre avis pour alerter ses 575 000 résidents concernés, Change Healthcare n’ayant toujours pas envoyé de notification 5 mois après l’attaque.

Des Perturbations Majeures pour le Système de Santé

Au-delà de l’exposition des données des patients, cette cyberattaque a provoqué des perturbations opérationnelles majeures. Des patients se sont retrouvés sans les médicaments et traitements nécessaires. Les prestataires de santé ont dû fournir des soins sans recevoir de paiement pour les demandes d’assurance, Change Healthcare étant dans l’incapacité de traiter les remboursements.

L’État du Nebraska réclame des dommages et intérêts pour le préjudice causé à ses résidents et fournisseurs de soins. UnitedHealth, maison-mère de Change Healthcare depuis son acquisition, a déclaré que ce procès n’était pas fondé et qu’elle comptait se défendre vigoureusement. Une bataille juridique s’annonce, mais les dégâts sont déjà considérables pour la confiance des patients et la sécurité du système de santé américain.

Cette violation de données met en lumière la vulnérabilité croissante de notre système de santé face aux cybermenaces. Il est impératif que les entreprises renforcent leurs mesures de sécurité pour protéger les informations sensibles des patients.

Expert en Cybersécurité

Leçons à Tirer pour Renforcer la Cybersécurité des Données de Santé

Ce cas illustre parfaitement les enjeux majeurs de la cybersécurité dans le secteur de la santé à l’ère du numérique. Avec la multiplication des données sensibles stockées et la sophistication croissante des cyberattaques, les entreprises doivent impérativement :

  • Mettre en place une authentification multifacteur robuste
  • Segmenter efficacement leurs systèmes informatiques
  • Surveiller en permanence les activités suspectes
  • Chiffrer les données sensibles
  • Former les employés aux bonnes pratiques de cybersécurité

Le coût humain et financier de telles violations est colossal. Il en va de la responsabilité des entreprises, mais aussi des régulateurs, de faire de la cybersécurité une priorité absolue pour éviter que de tels incidents ne se reproduisent. La santé et la vie privée de millions de personnes en dépendent.

Précédent

Ram Repousse La Sortie De Son Camion Électrique Pour Miser Sur Le Ramcharger

Suivant

Attaque de Ransomware Massive sur Change Healthcare : Chronologie

À lire également