Fuite de Données : Un Incident Majeur Affecte 4,3 Millions de Personnes
HealthEquity, un fournisseur de comptes d’épargne santé, a récemment annoncé qu’une violation de données a compromis les informations personnelles et de santé de 4,3 millions d’individus, impliquant un fournisseur tiers non identifié.
IMPORTANCE DE L’INCIDENT
Selon les informations fournies, la violation aurait eu lieu en mars et n’a été détectée qu’au 26 juin, laissant les hackers infiltrer le réseau pendant plus de trois mois. « Nous avons découvert un accès non autorisé et une possible divulgation d’informations de santé protégées et/ou d’informations personnellement identifiables stockées dans un référentiel de données non structuré en dehors de nos systèmes principaux », a expliqué HealthEquity dans son avis de violation de données.
Les informations personnelles compromises incluent des noms complets, adresses, numéros de téléphone, identifiants d’employeur et d’employé, ainsi que des numéros de sécurité sociale et des informations de carte de paiement.
Les organisations de santé qui utilisent les numéros de sécurité sociale (NSS) pour identifier leurs clients doivent intégrer ces données dans leurs systèmes opérationnels et bases de données. Cela crée une surface d’attaque plus attrayante pour les cybercriminels, car les NSS sont plus faciles à monétiser, ce qui peut avoir des conséquences dévastatrices pour les consommateurs touchés par cet incident.
RISQUES ASSOCIÉS À LA VIOLATION
Erich Kron, défenseur de la sensibilisation à la sécurité chez KnowBe4, a averti que le vol d’informations de santé personnelles peut être très préjudiciable pour les personnes concernées, en raison de la richesse des données sensibles, y compris des informations sur des procédures ou des maladies qui peuvent être embarrassantes. « C’est aussi une information qui peut être utilisée pour des attaques d’ingénierie sociale ultérieures », a déclaré Kron, notant qu’en faisant référence à une procédure ou un test que l’individu pourrait penser être privé et connu uniquement des professionnels de la santé, les acteurs malveillants peuvent plus facilement établir une confiance avec leurs victimes potentielles.
Kron a également souligné que cet incident met en lumière la nécessité de protéger les données en dehors des systèmes les plus courants. « Il n’est pas rare de constater que des employés utilisent des outils tels que des tableurs pour collecter et traiter des informations sans que le personnel informatique et de sécurité en soit informé », a-t-il expliqué, ajoutant que cela est souvent fait pour faciliter le travail, sans intention malveillante.
TENDANCES ACTUELLES EN MATIÈRE DE CYBERSÉCURITÉ
La semaine dernière, il a été révélé qu’environ 12,9 millions d’Australiens avaient vu leurs informations de santé, y compris des identifiants de santé, des numéros de carte Medicare et des détails de prescriptions, volées lors du récent piratage de MediSecure. Les répercussions de la violation de Change Healthcare plus tôt cette année se poursuivent, avec 39 prestataires de soins de santé poursuivant Change, une unité de UnitedHealth Group, pour avoir échoué à mettre en œuvre des mesures de sécurité informatique de base, y compris l’authentification multifactorielle.
Cette attaque a suscité des actions au Capitole, où un trio de sénateurs américains a récemment introduit une législation sous la forme de la Healthcare Cybersecurity Act, visant à atténuer l’avalanche de cyberattaques sur les organisations de santé américaines.
RECOMMANDATIONS POUR LES ORGANISATIONS
« Les organisations qui traitent des informations de santé protégées (PHI) ou d’importantes quantités d’informations personnellement identifiables (PII) doivent s’assurer que leurs employés sont éduqués et formés sur la bonne gestion des informations sensibles », a conseillé Kron. « Une bonne culture de sécurité, où les employés prennent en compte les implications de sécurité de la duplication des données, est une étape importante pour réduire ou éliminer des situations comme celle-ci. »
