« En informatique, celui qui n’utilise pas deux clés pour fermer sa porte invite les voleurs à entrer. » Voici ce que pourrait désormais dire Andrew Witty, PDG de UnitedHealth Group, après avoir récemment activé l’authentification multi-facteurs sur tous les systèmes de l’entreprise exposés à Internet. Cette nouveauté, c’est un peu comme mettre un cadenas supplémentaire sur la porte de sa maison, mais dans le cyberespace!
Il faut dire que la maison UnitedHealth avait été légèrement ébranlée. Plus tôt cette année, son sous-traitant Change Healthcare s’est retrouvé au cœur d’une attaque rançongicielle, touchant pharmacies, hôpitaux et cabinets médicaux aux États-Unis. Le fameux cadenas manquant? L’authentification multi-facteurs (AMF), un petit bijou de la sécurité informatique qui empêche les hackers de s’introduire dans les systèmes aussi facilement que dans un moulin.
« Changer Healthcare après l’attaque, c’est un peu comme fermer la porte de l’étable après que les vaches se soient échappées. »
En se penchant sur le scandale lors d’une des deux audiences au Congrès, Witty a avoué que des identifiants dérobés avaient été utilisés pour accéder à un serveur de Change Healthcare, vulnérable faute de MFA. Les hackers n’ont pas manqué d’exploiter cette faille pour siphonner des données puis les chiffrer, semant le chaos.
Ce n’est que sous le feu des questions des sénateurs, notamment de Ron Wyden, que Witty a juré ses grands dieux que désormais, tout chez UHG est verrouillé à double tour grâce à l’AMF. Un peu comme un repentir après une erreur de jeunesse, mais à l’échelle d’une multinationale.
Cependant, Witty a dû admettre que certains systèmes hérités de l’acquisition de Change Healthcare en 2022 n’avaient pas encore eu droit à ce précieux sésame. Il a exprimé sa frustration quant à un serveur particulièrement récalcitrant qui, sans MFA, a été la porte d’entrée des cybercriminels.
La critique de Wyden n’a pas tardé : avoir une politique, c’est bien, mais l’appliquer, c’est encore mieux. Et pour le moment, UnitedHealth est encore à planifier la manière de notifier les victimes du vol de données, pendant que le PDG réfléchit encore à comment ce serveur a pu rester aussi longtemps sans MFA.
Pour couronner le tout, UnitedHealth a sorti 22 millions de dollars de sa poche pour se défaire des hackers. Comme quoi, même dans le monde virtuel, la sécurité a un prix. Ah, et gardez un œil ouvert : Witty n’a pas fini de faire ses apparitions au Congrès. Espérons que la prochaine fois, il nous annonce avoir installé une porte blindée!
Source : Techcrunch
