Fuite De Données Massive Chez Change Healthcare: Plus De 100 Millions D’Américains Touchés

L’ampleur d’une des plus grandes violations de données de l’histoire vient d’être révélée. UnitedHealth Group, le géant américain de l’assurance maladie, a annoncé que la cyberattaque survenue en février dernier contre sa filiale Change Healthcare a compromis les données médicales personnelles de plus de 100 millions d’Américains. Un chiffre vertigineux qui fait de cet incident le plus grand vol numérique connu de dossiers médicaux.

Change Healthcare, une cible de choix pour les cybercriminels

Change Healthcare est l’un des plus grands gestionnaires de données médicales aux États-Unis. La société traite les demandes d’assurance et de facturation pour des milliers d’hôpitaux, de pharmacies et de cabinets médicaux à travers le pays. Une position clé qui en fait une cible privilégiée pour les pirates informatiques en quête de données sensibles à revendre sur le dark web ou à utiliser pour des tentatives d’extorsion.

Comme l’a expliqué le PDG d’UnitedHealth, Andrew Witty, Change Healthcare gère des informations sur environ un tiers de la population américaine. La fusion controversée de l’entreprise avec Optum en 2022, une autre filiale d’UnitedHealth, n’a fait qu’accroître la concentration des données sous un même toit, pour le plus grand bonheur des cybercriminels.

Une cyberattaque aux lourdes conséquences

L’attaque par rançongiciel contre Change Healthcare, revendiquée par le gang russophone BlackCat, a provoqué des pannes majeures dans tout le secteur de la santé américain en février dernier. De nombreux hôpitaux et cliniques se sont retrouvés dans l’incapacité de traiter les demandes d’assurance et de facturation de leurs patients pendant plusieurs semaines.

Mais au-delà de ces perturbations, ce sont les données dérobées qui inquiètent le plus. Nom, adresse, date de naissance, numéro de sécurité sociale, permis de conduire, passeport, antécédents médicaux, traitements, résultats d’examens… Ce butin digital représente une mine d’or pour les fraudeurs et une menace sérieuse pour la vie privée des personnes concernées.

Les ramifications pour les millions d’Américains dont les informations médicales privées ont été volées de manière irréversible risquent d’être durables.

– Tyler Mason, porte-parole d’UnitedHealth Group

Une sécurité insuffisante pointée du doigt

Les pirates auraient pénétré le système de Change Healthcare en utilisant des identifiants volés sur un compte employé qui n’était pas protégé par une authentification multi-facteurs (MFA). Une négligence difficilement excusable pour une entreprise de cette taille gérant autant de données critiques.

Lors d’une audition devant la Chambre des représentants en avril, le PDG d’UnitedHealth a reconnu cette faille et assuré que le MFA avait depuis été déployé. Mais pour beaucoup, le mal est fait. La concentration du secteur de la santé et le manque d’investissements dans la cybersécurité en font un terrain de jeu idéal pour les hackers.

Alors qu’UnitedHealth Group réalise des profits records, son incapacité à mettre en place des mesures de sécurité de base est consternante. La cupidité des grandes entreprises met en danger la vie privée de millions d’Américains.

– Un membre du Congrès lors de l’audition

Les données de santé, une cible de plus en plus prisée

Avec l’essor de la télémédecine et la numérisation croissante du secteur de la santé, les données médicales sont devenues une cible de choix pour les cybercriminels. Contrairement aux numéros de carte bancaire qui peuvent être rapidement changés, les informations médicales sont immuables et ont donc une valeur durable sur le marché noir.

Selon une étude d’IBM, le coût moyen d’une violation de données dans le secteur de la santé s’élève à 7,13 millions de dollars, soit le montant le plus élevé parmi tous les secteurs d’activité. Et les conséquences ne sont pas que financières. Les fuites de données médicales peuvent avoir un impact dévastateur sur la vie des patients, de la hausse des primes d’assurance au chantage en passant par la discrimination à l’embauche.

Un électrochoc nécessaire pour renforcer la sécurité

Face à cette menace grandissante, les entreprises du secteur de la santé doivent impérativement renforcer leur cybersécurité. Cela passe par des investissements accrus dans les technologies de protection des données, la formation des employés aux bonnes pratiques et une architecture repensée pour réduire les risques.

Les régulateurs ont également un rôle clé à jouer en imposant des normes plus strictes et en sanctionnant lourdement les entreprises négligentes. Le Health Insurance Portability and Accountability Act (HIPAA) fixe déjà des règles pour la protection des données de santé, mais son application est souvent trop laxiste.

L’attaque contre Change Healthcare doit servir d’électrochoc. C’est une piqûre de rappel brutale sur les dangers de la concentration des données et les failles béantes dans la cybersécurité du système de santé américain. Si rien ne change, ce type d’incident risque de se multiplier avec des conséquences toujours plus désastreuses pour les patients et la société dans son ensemble.

  • Des normes de cybersécurité plus strictes pour les entreprises de santé
  • Des sanctions renforcées en cas de négligence dans la protection des données
  • Davantage de transparence sur les incidents de sécurité
  • Une limitation de la concentration des données sensibles

Il est temps de tirer les leçons de ce fiasco et de mettre la sécurité des données médicales au cœur des priorités. La santé de millions d’Américains en dépend.

Lors d’une audition devant la Chambre des représentants en avril, le PDG d’UnitedHealth a reconnu cette faille et assuré que le MFA avait depuis été déployé. Mais pour beaucoup, le mal est fait. La concentration du secteur de la santé et le manque d’investissements dans la cybersécurité en font un terrain de jeu idéal pour les hackers.

Alors qu’UnitedHealth Group réalise des profits records, son incapacité à mettre en place des mesures de sécurité de base est consternante. La cupidité des grandes entreprises met en danger la vie privée de millions d’Américains.

– Un membre du Congrès lors de l’audition

Les données de santé, une cible de plus en plus prisée

Avec l’essor de la télémédecine et la numérisation croissante du secteur de la santé, les données médicales sont devenues une cible de choix pour les cybercriminels. Contrairement aux numéros de carte bancaire qui peuvent être rapidement changés, les informations médicales sont immuables et ont donc une valeur durable sur le marché noir.

Selon une étude d’IBM, le coût moyen d’une violation de données dans le secteur de la santé s’élève à 7,13 millions de dollars, soit le montant le plus élevé parmi tous les secteurs d’activité. Et les conséquences ne sont pas que financières. Les fuites de données médicales peuvent avoir un impact dévastateur sur la vie des patients, de la hausse des primes d’assurance au chantage en passant par la discrimination à l’embauche.

Un électrochoc nécessaire pour renforcer la sécurité

Face à cette menace grandissante, les entreprises du secteur de la santé doivent impérativement renforcer leur cybersécurité. Cela passe par des investissements accrus dans les technologies de protection des données, la formation des employés aux bonnes pratiques et une architecture repensée pour réduire les risques.

Les régulateurs ont également un rôle clé à jouer en imposant des normes plus strictes et en sanctionnant lourdement les entreprises négligentes. Le Health Insurance Portability and Accountability Act (HIPAA) fixe déjà des règles pour la protection des données de santé, mais son application est souvent trop laxiste.

L’attaque contre Change Healthcare doit servir d’électrochoc. C’est une piqûre de rappel brutale sur les dangers de la concentration des données et les failles béantes dans la cybersécurité du système de santé américain. Si rien ne change, ce type d’incident risque de se multiplier avec des conséquences toujours plus désastreuses pour les patients et la société dans son ensemble.

  • Des normes de cybersécurité plus strictes pour les entreprises de santé
  • Des sanctions renforcées en cas de négligence dans la protection des données
  • Davantage de transparence sur les incidents de sécurité
  • Une limitation de la concentration des données sensibles

Il est temps de tirer les leçons de ce fiasco et de mettre la sécurité des données médicales au cœur des priorités. La santé de millions d’Américains en dépend.

À lire également