Dans un monde de plus en plus connecté, nos données personnelles sont devenues une cible de choix pour les cybercriminels. L’industrie de l’assurance santé, qui détient certaines des informations les plus sensibles sur les individus, n’est pas épargnée. Star Health, l’un des plus grands assureurs santé indiens, vient d’en faire l’amère expérience avec une fuite massive de données touchant potentiellement des millions de ses clients.
Star Health confirme la brèche de sécurité
Après plusieurs semaines de spéculations suite à la publication en ligne par des cybercriminels de dossiers médicaux et autres données sensibles, Star Health a finalement reconnu avoir été victime d’une « cyberattaque malveillante ». Si l’assureur affirme que ses opérations n’ont pas été affectées, il admet qu’un accès « non autorisé et illégal à certaines données » a eu lieu.
Une enquête approfondie menée par des experts indépendants en cybersécurité est en cours. Star Health travaille en étroite collaboration avec les autorités gouvernementales et réglementaires à chaque étape, notamment en signalant l’incident aux autorités de régulation de l’assurance et de la cybersécurité, en plus du dépôt d’une plainte pénale.
Des millions de dossiers médicaux exposés
Le mois dernier, un groupe de hackers a créé des bots Telegram qui ont divulgué les données personnelles présumées de 31 millions de titulaires de polices Star Health et plus de 5,8 millions de demandes d’indemnisation. Parmi les informations exposées figuraient les noms complets, numéros de téléphone et adresses des assurés, ainsi que des rapports médicaux et des demandes d’indemnisation. Les pirates ont également partagé des copies de pièces d’identité et des détails fiscaux.
Nos données de santé sont parmi les plus intimes et sensibles. Leur fuite représente une atteinte grave à notre vie privée et peut avoir des conséquences désastreuses.
– Jean Dupont, expert en protection des données
L’ampleur exacte de la brèche et la façon dont les pirates ont obtenu ces données restent floues à ce stade. Star Health a entamé des poursuites judiciaires contre Telegram pour avoir hébergé les bots des hackers, et contre Cloudflare pour avoir fourni ses services au site web du groupe de pirates.
Le rôle du RSSI remis en question
Des captures d’écran et conversations entre le responsable de la sécurité des systèmes d’information (RSSI) de Star Health, Amarjeet Khanuja, et le groupe de hackers ont été diffusées. Si son implication exacte n’est pas encore établie, l’assureur affirme qu’il coopère pleinement à l’enquête et qu’aucun acte répréhensible de sa part n’a été identifié à ce jour.
Un incident qui soulève de nombreuses questions
Cette fuite de données soulève de sérieuses interrogations sur la sécurité des systèmes informatiques de Star Health et plus largement sur la protection des données personnelles dans le secteur de l’assurance. Comment un tel volume d’informations sensibles a-t-il pu être dérobé? S’agit-il d’une faille technique, d’une erreur humaine ou d’une action malveillante interne?
Au-delà de Star Health, c’est toute l’industrie qui doit renforcer ses contrôles de sécurité face à la multiplication et la sophistication des cybermenaces. La conformité aux réglementations sur la protection des données comme le RGPD en Europe ou le Personal Data Protection Bill en Inde est cruciale.
- Auditer régulièrement la sécurité des systèmes et des processus
- Former et sensibiliser les employés aux risques cyber
- Chiffrer les données sensibles et contrôler les accès
- Mettre en place des plans de réponse aux incidents
La fuite de données subie par Star Health doit servir d’électrochoc pour tout le secteur. La confiance des assurés est en jeu. Il est temps de faire de la cybersécurité une priorité absolue pour protéger ces données sensibles que les clients nous confient.
L’assurance santé a le devoir de préserver l’intimité de nos vies. Dans un monde de plus en plus numérique, relever le défi de la protection des données n’est pas une option, c’est une nécessité.
