Depuis deux mois, les États-Unis font face à une crise majeure dans le domaine de la confidentialité médicale.
Une cyberattaque perpétrée contre les systèmes de Change Healthcare, une filiale de UnitedHealth Group, a entraîné le vol et le cryptage de données d’une ampleur sans précédent. Andrew Witty, PDG de UnitedHealth Group, a souligné lors d’une audience que cette violation a touché une partie substantielle de la population américaine, suscitant une inquiétude généralisée quant à la sécurité des données médicales.
Lire aussi :
- Entre régulation, concurrence et cybersécurité : TikTok, Tesla et le secteur de la santé sous pression
- Quelles sont les implications de la nouvelle loi signée par le président Biden concernant l’interdiction de TikTok aux États-Unis ?
Estimation de l’impact : Un tiers de la population américaine touchée ?
Malgré le temps écoulé depuis l’attaque, l’ampleur exacte des répercussions demeure incertaine. Lors d’une récente audience à la Chambre, Andrew Witty a été interrogé sur le nombre de personnes touchées. Bien que les chiffres précis restent flous, Witty a avancé l’estimation audacieuse selon laquelle peut-être un tiers [des Américains], ou quelque part à ce niveau ont été impactés. Cette déclaration soulève des questions cruciales sur l’étendue de la compromission des données et sur les mesures de protection insuffisantes mises en place.
Défis persistants dans l’évaluation des dommages
L’évaluation précise des dommages reste un défi majeur pour UnitedHealth Group. Witty a admis que l’enquête en cours nécessitait encore plusieurs mois avant que l’entreprise puisse informer les victimes de la violation de leurs données. Cette situation souligne l’urgence de renforcer la cybersécurité dans le secteur de la santé et l’importance de la transparence dans la communication des incidents de sécurité.
Défaillance de la sécurité et mesures correctives
Les détails de l’attaque révèlent une série de failles de sécurité alarmantes. Les pirates ont exploité des identifiants compromis pour accéder au portail Citrix de Change Healthcare, qui ne bénéficiait pas d’une authentification multi-facteurs. Si cette mesure de sécurité fondamentale avait été en place, la violation aurait pu être évitée. Face à cette lacune, les sénateurs ont pressé Witty sur les mesures correctives prises par UnitedHealth et Change Healthcare pour renforcer leur sécurité informatique. Witty a assuré que l’entreprise avait désormais une politique de sécurité stricte imposant l’authentification multi-facteurs sur tous ses systèmes externes.
Cette cyberattaque met en lumière les défis croissants auxquels sont confrontées les organisations de santé en matière de protection des données sensibles. Alors que les conséquences de cette violation se font encore sentir, elle souligne l’importance cruciale de la sécurité informatique dans un monde de plus en plus numérisé.