Un an plus tard, qu’avons-nous appris d’UnitedHealth ?
Table des matières:
Le mois dernier, le géant de l'assurance santé UnitedHealth Group (UHG) a presque doublé le nombre de victimes qu'il avait initialement estimé après la violation de données de l'année dernière. En octobre, l'entreprise avait déclaré que 100 millions de personnes avaient été touchées par l'attaque par ransomware. En janvier, ce chiffre est passé à 190 millions. C'est le moment idéal pour se poser la question : qu'avons-nous appris ?
Retour sur la violation de l'UHG
Le groupe de ransomware ALPHV/BlackCat a volé les données de la filiale d'UHG, Change Healthcare, le 21 février 2024. Le gang lié à la Russie avait déjà prévenu qu'il ciblerait les entreprises du secteur de la santé après que le ministère de la Justice ait perturbé ses opérations en décembre précédent.
Selon Change Healthcare page d'avis de violationLes informations personnelles volées comprenaient des noms, des adresses, des dates de naissance, des numéros de téléphone et des adresses électroniques. D'autres informations comprenaient des données d'assurance maladie, notamment des numéros d'identification de membre/groupe et des numéros d'identification Medicaid/Medicare.
Les cybercriminels ont également exfiltré des données personnelles sur la santé, notamment des numéros de dossiers médicaux, des diagnostics, des médicaments, des résultats d’examens et des images, ainsi que des informations sur les soins et les traitements. Enfin, les auteurs du ransomware ont dérobé des données de facturation et de réclamation, notamment des numéros de réclamation, des numéros de compte, des codes de facturation, des paiements effectués et des soldes dus.
Heureusement, Change Healthcare a déclaré que les numéros de sécurité sociale et les coordonnées bancaires ne figuraient pas parmi les informations volées.
Comment et pourquoi est-ce arrivé ?
Des rapports ont révélé que les attaquants avaient réussi à accéder à un portail Citrix de Change Healthcare qui permettait l'accès à distance aux postes de travail le 12 février, en utilisant des identifiants compromis. Le portail n'était pas protégé par une authentification multifacteur (MFA).
D’après Témoignage du Congrès du PDG Andrew Witty en mai dernier, les intrus se sont déplacés latéralement dans le système de l'entreprise, accédant à plusieurs zones, y compris son serveur Active Directory, et exfiltrant les données. Witty a également admis de payer une rançon de 22 millions de dollars au gang criminel.
Faire face à la violation
UHG a déclaré avoir reconstruit l'infrastructure technologique de Change Healthcare à partir de zéro pour la faire fonctionner à nouveau en toute sécurité, et a également fourni des milliards de dollars d'aide financière à ceux dont les soins de santé ont été perturbés par l'attaque. Witty a expliqué qu'elle a également fait appel à des tiers, dont Mandiant et Palo Alto Networks, pour renforcer ses analyses de sécurité internes avec les leurs et a également fait appel à Mandiant en tant que conseiller du conseil d'administration.
Que pouvons-nous apprendre de cette brèche ?
Le sénateur Ron Wyden a décrit ce qui, selon lui, aurait dû être mieux fait dans un lettre Un mois après les audiences du Congrès, il a présenté un rapport à la Commission fédérale du commerce et à la Commission des valeurs mobilières. Il a exposé plusieurs points.
Pourquoi le système MFA n'a-t-il pas été mis en œuvre ? Witty se défend en affirmant que Change Healthcare, que UHG a acquis fin 2022, était encombré de systèmes hérités fragmentés et qu'il fallait du temps pour les mettre en conformité avec les politiques de sécurité internes d'UHG. L'entreprise a autorisé d'autres contrôles de sécurité compensatoires lorsque les systèmes n'étaient pas encore à la hauteur. De toute évidence, cela n'a pas suffi.
« Les conséquences de la décision apparente d’UHG de renoncer à sa politique MFA pour les serveurs exécutant des logiciels plus anciens sont désormais douloureusement claires », a déclaré M. Wyden. « Mais les dirigeants d’UHG auraient dû savoir, bien avant l’incident, que c’était une mauvaise idée. »
Les autres préoccupations de Wyden portent sur la capacité des attaquants à se déplacer aussi facilement dans le reste de l'entreprise. Lorsqu'un utilisateur accède au serveur Active Directory d'une entreprise à partir d'un portail d'accès de bureau pour obtenir un accès privilégié, il y a quelque chose qui cloche. Cela suggère l'absence de certains principes fondamentaux impliqués dans les approches zero-trust, tels que la micro-segmentation et les contrôles de gestion des identités et des accès omniprésents dans l'ensemble du système, plutôt que de simples verrous sur les actifs externes.
Wyden a également reproché à UHG un manque de continuité des activités. « Dans son témoignage devant la Chambre, M. Witty a révélé que l'entreprise avait pu restaurer ses systèmes basés sur le cloud en quelques jours. Mais, a ajouté M. Witty, de nombreux systèmes clés de l'entreprise n'avaient pas encore été conçus pour fonctionner dans le cloud », indique la lettre. « Au lieu de cela, ces services fonctionnaient sur les propres serveurs de l'entreprise, ce qui prenait beaucoup plus de temps à restaurer ».
La cybersécurité n’est pas le seul problème
Il s’agit de principes fondamentaux de cybergouvernance qui ne devraient surprendre personne, et encore moins ceux qui signent les contrôles de cybersécurité chez UHG. Mais un autre principe est encore plus accablant : UHG savait pertinemment qu’elle allait collecter de grandes quantités de données sensibles lorsqu’elle a acquis Change Healthcare.
En février 2022, le ministère de la Justice poursuivi UHG pour essayer de l'empêcher d'acquérir Change Healthcare.
« La transaction proposée menace de marquer un tournant dans le secteur de la santé en donnant à United le contrôle d'une autoroute de données cruciale par laquelle transitent environ la moitié des demandes d'assurance maladie des Américains chaque année », a déclaré Doha Mekki, procureur général adjoint principal de la division antitrust du ministère de la Justice. Il s'agissait d'une plainte antitrust, mais les inquiétudes concernant l'agrégation de données semblent particulièrement prémonitoires aujourd'hui.
Malgré cela, l'entreprise n'a pas réagi assez rapidement pour protéger ces données, et ce n'est pas faute de fonds. En 2023, l'année suivant l'acquisition de Change Healthcare, UHG a réalisé son plus gros bénéfice historique (22.4 milliards de dollars de bénéfice net) sur un chiffre d'affaires de 371.6 milliards de dollars.
Bien que nous n'ayons pas de pourcentage concernant le budget de sécurité du géant de l'assurance, une plus grande partie de cet argent aurait probablement dû être consacrée au remplacement du système en nid d'abeilles de systèmes hérités de Change Healthcare pour une meilleure sécurité et une meilleure résilience.
La violation de l'UHG est due à des erreurs techniques bien connues, mais la raison principale est la plus clichée de toutes : ceux qui sont à la tête de la plus grande entreprise de soins de santé aux États-Unis avaient tout simplement d'autres priorités.
