Advanced Software confronté à une amende de plusieurs millions de livres suite à une cyberattaque de ransomware LockBit en 2022
Le fournisseur de logiciels Advanced Computer Software Group risque une amende de 6,09 millions de livres en raison d’une prétendue négligence dans la mise en œuvre de mesures de cybersécurité adéquates. Cette défaillance a permis au groupe de ransomware LockBit de voler des données personnelles sensibles de 82 946 individus lors d’une attaque sur ses systèmes en août 2022.
Cette cyberattaque a provoqué des perturbations considérables au sein des organismes de santé, notamment les trusts NHS et d’autres entités de soins sociaux utilisant les services de gestion de maisons de soins Caresys, de planification des soins Staffplan, et de gestion clinique des patients Adastra. L’impact immédiat le plus significatif a été ressenti par les utilisateurs du service Adastra, qui soutient le service de conseils NHS 111.
Le groupe LockBit, démantelé par l’Agence nationale de la criminalité du Royaume-Uni (NCA) au début de 2024, a réussi à accéder au réseau d’Advanced en utilisant des identifiants légitimes d’un compte tiers qui n’avait pas l’authentification multifactorielle (MFA) activée. Ce compte a permis d’établir une session de protocole de bureau à distance (RDP) sur un serveur Citrix de Staffplan, d’où les cybercriminels ont pu se déplacer latéralement dans l’environnement d’Advanced pour élever leurs privilèges, exfiltrer des données sensibles, y compris des dossiers médicaux de patients et des numéros de téléphone, et exécuter leur logiciel de ransomware.
John Edwards, le commissaire à l’information, a déclaré : « Cet incident souligne l’importance cruciale de prioriser la sécurité de l’information. La perte de contrôle sur des informations personnelles sensibles a dû être très préoccupante pour ceux qui ont dû faire confiance aux organisations de santé et de soins. »
« Non seulement des informations personnelles ont été compromises, mais nous avons également reçu des rapports indiquant que cet incident a perturbé certains services de santé, affectant leur capacité à fournir des soins aux patients. Un secteur déjà sous pression a été soumis à une pression supplémentaire à cause de cet incident. »
Edwards a ajouté : « Pour une organisation de confiance chargée de gérer un volume important de données sensibles, nous avons constaté des manquements graves dans son approche de la sécurité de l’information avant cet incident. »
Il a également noté que, bien qu’Advanced ait déjà mis en place des mesures sur ses systèmes d’entreprise, il a échoué à sécuriser ses systèmes de santé. « Nous attendons de toutes les organisations qu’elles prennent des mesures fondamentales pour sécuriser leurs systèmes, telles que des vérifications régulières des vulnérabilités, l’implémentation de l’authentification multifactorielle et la mise à jour des systèmes avec les derniers correctifs de sécurité. »
Les conclusions de l’ICO sont pour l’instant provisoires, et aucune conclusion ne doit être tirée quant à une éventuelle violation de la loi sur la protection des données, ni sur l’imposition d’une amende. Dans le cadre du processus d’enquête, Advanced a le droit de faire des représentations avant qu’une décision finale ne soit prise. Si l’organisation est finalement condamnée à une amende, le montant pourrait être modifié.
Edwards a choisi de rendre publique la décision provisoire de l’ICO afin d’assurer que d’autres organisations disposent des informations nécessaires pour sécuriser leurs systèmes et éviter des incidents similaires à l’avenir. Il a exhorté toutes les organisations, en particulier celles traitant des données de santé sensibles, à sécuriser d’urgence leurs connexions externes et à imposer des politiques de MFA.
L’ICO a souligné que, bien que les processeurs de données comme Advanced agissent sur les instructions de leurs clients, les contrôleurs de données – dans ce cas, le NHS – qui ont le contrôle global sur l’utilisation des données, ont également l’obligation légale de mettre en œuvre des mesures de sécurité appropriées pour les protéger. Cela inclut l’évaluation et la mitigation des risques, la réalisation de scans de vulnérabilité sur leur infrastructure informatique, l’implémentation de la MFA et la mise à jour des systèmes.
Un porte-parole d’Advanced, qui opère désormais sous le nom de OneAdvanced, a déclaré à Computer Weekly que l’organisation avait informé l’ICO en août 2022 qu’elle avait été la cible d’une attaque par ransomware et avait pleinement coopéré avec l’enquête au cours des deux dernières années. Ils ont reconnu la Notification d’Intention (NoI) du régulateur, qui expose ses conclusions provisoires et les invite à faire des représentations, ce qu’ils ont l’intention de faire.
« Nous avons soutenu nos clients tout au long de l’incident et pouvons confirmer qu’aucune donnée n’a jamais été rendue publique. Les données des patients contrôlées par les trusts NHS n’ont pas été affectées et notre surveillance continue confirme qu’il n’y a aucune preuve de fraude ou d’utilisation abusive. Il n’y a eu aucun impact sur les autres systèmes de service à la clientèle d’Advanced. »
« Nous nous excusons auprès de nos clients. Il est profondément regrettable que des acteurs malveillants aient perturbé nos services lors de cet incident. Nous attachons une grande importance à nos clients dans le secteur de la santé et prenons très au sérieux notre responsabilité envers eux, leurs patients et leurs communautés. La cybersécurité reste un investissement prioritaire dans notre entreprise, et nous continuons à adapter et à faire évoluer notre réponse face aux menaces et défis de cybersécurité en constante évolution. »
En savoir plus sur la conformité réglementaire et les exigences standard
-
Les attaques LockBit persistent via les failles de ConnectWise ScreenConnect
-
À l’intérieur de LockBit : un gang de ransomware en déclin ?
-
Membres du gang LockBit arrêtés en Pologne et en Ukraine
-
Les forces de l’ordre démantèlent le gang de ransomware LockBit
