Incidents associés
Près d'un demi-million de patients de Catholic Health, un système de santé à but non lucratif basé à New York, pourraient avoir vu leurs informations personnelles et médicales exposées suite à une fuite de données. Selon Serviceaide, fournisseur de solutions de gestion d'entreprise, une base de données Elasticsearch gérée par Catholic Health a été rendue publique par inadvertance, compromettant potentiellement des données sensibles de patients.
L'entreprise a informé le ministère de la Santé et des Services sociaux (HHS).
Bien que Serviceaide n'ait trouvé aucune preuve d'exfiltration des informations, elle ne peut l'exclure définitivement.
« Bien que nous n'ayons aucune indication d'usurpation d'identité ni de fraude en lien avec cet incident, l'enquête a déterminé que les informations potentiellement présentes dans les données concernées pourraient inclure le nom, le numéro de sécurité sociale, la date de naissance, le numéro de dossier médical, le numéro de compte patient, les informations médicales/de santé, les informations d'assurance maladie, les informations sur les ordonnances/traitements, les informations cliniques, le nom et la localisation du prestataire, ainsi que l'adresse e-mail/nom d'utilisateur et le mot de passe. Le type d'informations concernées varie selon les individus », peut-on lire dans la déclaration de l'entreprise.
L'entreprise a ajouté qu'elle enverrait une lettre de notification aux personnes dont les informations seraient contenues dans les données potentiellement concernées et pour lesquelles elle dispose d'une adresse postale valide. « Si une personne ne reçoit pas de lettre mais souhaite savoir si elle est concernée, elle peut appeler notre ligne d'assistance dédiée. »
De plus, Serviceaid a conseillé ses clients : « Si vous pensez que cet incident a pu avoir un impact sur vos informations personnelles, Serviceaide vous encourage à rester vigilant face aux cas d’usurpation d’identité en consultant vos relevés de compte et en surveillant vos rapports de solvabilité gratuits pour détecter toute activité inhabituelle et toute erreur. »
Les particuliers peuvent également contacter les trois principales agences d’évaluation du crédit pour obtenir des conseils sur la manière d’obtenir des rapports de solvabilité gratuits, ainsi que sur la manière de placer des alertes de fraude et de geler les dossiers de crédit.
Risques prolongés
« Le volume considérable de données personnelles et médicales sensibles exposées lors de la violation de Serviceaide souligne le besoin crucial et permanent de mesures de cybersécurité robustes dans le secteur de la santé », commente Darren Guccione, PDG et cofondateur de Keeper Security. « Déterminer l’impact réel d’une violation de cette ampleur prend souvent des mois, voire des années, car les organisations doivent déterminer l’étendue de l’exposition des données, vérifier l’exactitude des rapports de violation et se conformer à l’évolution des exigences réglementaires. »
Les données exposées de Catholic Health demeurent une menace importante, déclare Guccione. « Avec la compromission des informations personnelles, médicales et financières, le risque d'usurpation d'identité, de fraude médicale et d'attaques d'hameçonnage ciblées est élevé. Bien qu'il n'y ait pas de signes immédiats d'utilisation abusive, les données volées pourraient refaire surface ultérieurement, prolongeant ainsi les risques pour les particuliers et les organisations. Les victimes peuvent prendre des mesures proactives pour limiter les dommages liés à l'exposition des informations personnelles identifiables (IPI), comme modifier les identifiants de connexion des comptes et applications en ligne, utiliser un service de surveillance du dark web pour détecter les fuites d'identifiants, surveiller ou geler leurs agences d'évaluation du crédit et adopter une cyberhygiène rigoureuse. »
Les responsables du secteur de la santé doivent adopter une position proactive dans la lutte contre les cybermenaces en allouant des ressources dédiées et un budget conséquent à la cybersécurité, qui est considérée comme un élément essentiel de la sécurité des patients, ajoute Guccione. « L'alignement sur les cadres gouvernementaux et sectoriels, tels que ceux de la CISA, du NIST et de la loi HIPAA, est essentiel pour garantir des pratiques de sécurité solides. »
Adopter le Zero Trust
Agnidipta Sarkar, vice-présidente et conseil RSSI chez ColorTokens, explique que la faille résultait d'une mauvaise configuration non sécurisée de la référence directe d'objet (IDOR), permettant un accès potentiellement non autorisé à des données sensibles sans preuve de copie. « Cela pourrait affecter les personnes recevant des soins médicaux dans les 75 établissements de Catholic Health dans l'ouest de l'État de New York, augmentant les risques d'usurpation d'identité, de fraude financière et de fraude médicale, en raison de la perte potentielle de données personnelles et médicales hautement sensibles. »
Les équipes de cybersécurité peuvent en tirer de nombreux enseignements, mais leur mise en œuvre est complexe, ajoute Sarkar. « Il s'agit notamment de prévenir les risques de mauvaise configuration, les retards de détection, les risques liés aux fournisseurs tiers, l'exposition des données sensibles et les implications réglementaires. Au minimum, les équipes de sécurité des soins de santé doivent corriger les vulnérabilités IDOR, auditer les configurations, améliorer la gouvernance des changements et mettre en œuvre un accès sans mot de passe avec le principe du moindre privilège. »
Ces contrôles nécessitent discipline et coordination entre les équipes, ainsi qu'investissement et suivi des outils de cybersécurité, précise Sarkar. « La solution la plus simple consiste à adopter des mécanismes Zero Trust, comme une gouvernance renforcée des identités, la microsegmentation et un périmètre défini par logiciel, renforçant ainsi la prévention des fuites de données. »
Considérer une violation comme inévitable
Les attaques récentes soulignent la nécessité cruciale pour les RSSI d'adopter une approche « considérer une violation comme inévitable », commente Haviv Rosh, directeur technique chez Pathlock. « La question n'est pas de savoir s'ils y parviennent, mais de savoir ce qui se passera ensuite. Plus précisément, les responsables de la sécurité doivent intégrer une stratégie fondée sur plusieurs éléments clés. »
Tout d'abord, Rosh recommande d'identifier les actifs clés : les systèmes et les données qui génèrent des revenus, la confiance ou les opérations. Deuxièmement, la segmentation et l'isolation des charges de travail critiques sont importantes pour éviter les mouvements latéraux. Troisièmement, elles doivent investir dans une infrastructure de récupération prioritaire. Cette tâche implique la mise en place de sauvegardes immuables avec une capacité de restauration rapide. Elle suppose également l'intégration d'une infrastructure en tant que code pour redéployer rapidement les environnements. Enfin, les services sans serveur ou basés sur des conteneurs pour le basculement modulaire, ainsi que la gouvernance des accès privilégiés avec audit en temps réel et détection des dérives, sont essentiels.
Le dernier élément, mais crucial, de cette stratégie consiste à tester continuellement la résilience en conditions réelles, conclut Rosh. « Si vous ne la testez pas, elle ne fonctionnera pas au moment opportun. Les exercices théoriques, les exercices en équipe rouge et les simulations de récupération doivent être une pratique courante. »
Un programme de sécurité moderne ne se définit pas par le nombre d'attaques qu'il bloque, mais par sa fiabilité à se rétablir après une attaque. La résilience est désormais le contrôle le plus important.