Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Luc Delpha, Provadys : Faille de sécurité et compromission de données chez l’assureur-santé Anthem, Quels enseignements pouvons-nous en tirer ?

février 2015 par Luc Delpha, Directeur de l’offre Gestion des risques et sécurité de l’information de Provadys

Plusieurs éléments sont frappants dans cette compromission. Tout d’abord, son ampleur est particulièrement importante puisque près de 80 millions de clients pourraient être concernés, on parle ici d’un quart de la population américaine, ramené à la France, il faut imaginer une compromission concernant les données de l’ensemble de la population…

Ensuite, bien que les données concernées, ne comprennent pas de numéros de cartes bancaires, elles restent très sensibles. En effet, il s’agit essentiellement de coordonnées de clients avec en particulier les numéros de sécurité sociale. Or, rappelons-le, ces données permettent d’usurper assez facilement l’identité d’un individu aux Etats-Unis.

Les enseignements principaux :

 Une Cyber-attaque peut conduire à une compromission de données de très grande ampleur même si les données n’ont pas une valeur marchande directe et même dans un secteur aussi mature en matière de SSI que l’assurance.

 La maitrise de la communication de crise permet de réduire sensiblement l’impact de la compromission

o Les forces de l’ordre ont été prévenues rapidement

o La communication vers les clients et les médias a été bien maitrisée ce qui est certainement dû au fait que ANTHEM devait être bien préparé à gérer ce type de crise.

§ La compromission a été annoncée par l’entreprise victime elle-même et non pas par des tiers.

§ Un communiqué clair et concis a été mis en ligne sur le site web de l’entreprise.

§ Les faits connus ont été énoncés sans chercher à pointer du doigt un responsable avant que les éléments suffisants n’aient été réunis

§ Des plateformes d’information web et téléphoniques ont été mises en place pour les clients

§ Une notification individuelle des clients concernés est en cours de déploiement

§ Une équipe de spécialistes en inforensic a été missionnée pour l’analyse des conditions techniques de la compromission et l’identification des mesures de sécurité à mettre en œuvre.

§ Le CEO de l’entreprise s’est montré en première ligne pour incarner la communication de l’entreprise sur le sujet.

§ Des mesures de protection des clients affectés et de limitation des impacts des potentielles usurpations d’identités, ont été annoncées.

 L’existence de régulations fortes applicables à l’entreprise concernée ne suffit pas à éliminer complètement le risque de compromission. En effet, c’est un acteur majeur concerné par la règlementation HIPAA (Health Insurance Portability and Accountability Act qui adresse entre autres la protection des données de santé) qui a été touché.

 Le consommateur dont les données personnelles ont été compromises doit redoubler de vigilance quant aux usages frauduleux de son identité numérique qui pourraient en découler. A défaut de pouvoir être assuré du fait qu’aucune des entreprises auxquelles il les a confiées n’a été compromise, cette vigilance doit devenir permanente. Dans une certaine mesure il en est de même pour les données cartes bancaires.

Les compromissions massives et successives de données personnelles (adresses, numéros de sécurité sociale…) qui, contrairement aux données Cartes Bancaires, ne peuvent être simplement/rapidement modifiées ou invalidées, ne vont-elles pas, à termes, rendre de plus en plus difficile l’établissement du lien entre une fraude ou usurpation d’identité et le lieu de compromission d’origine de la donnée.


Voir les articles précédents

    

Voir les articles suivants