« Une once de prévention vaut une tonne de données volées. » En février 2024, le monde de la santé américaine a connu un choc sismique numérique sans précédent : Change Healthcare, une entreprise de technologie de la santé détenue par UnitedHealth, a subi une attaque par ransomware engageant 190 millions de personnes dans une énorme galère digitale.
Comme si annoncer en fanfare une hausse des coûts de santé ne suffisait pas, UnitedHealth a confirmé en janvier 2025 que cette violation de données affecte quasiment la moitié de la population américaine – soit bien plus que la pop star qui envahit vos oreilles sans autorisation. Les informations des patients, allant des dossiers médicaux aux diagnostics en passant par les résultats de tests, ont été compromises, laissant les Américains se demander s’ils doivent prévenir leurs docteurs ou leurs serruriers numériques.
Même en pleine mer digitale, mieux vaut savoir où aller pêcher les infos sûres.
Le cyber-chaos a débuté par un après-midi pluvieux de février lorsque tous les systèmes de facturation et de traitement des assurances ont tiré une révérence soudaine. Change Healthcare, face à ce qui était aussi agréable qu’un détartrage sans anesthésie, a décidé de fermer son réseau – pensant sans doute qu’un maillage serré paralyserait les intrus russophones de la bande ALPHV/BlackCat, déjà soupçonnée de semer l’anarchie.
Et vous savez ce qui est mieux que de payer une rançon de 22 millions de dollars ? Sans doute pas cinquante nuances de données partagées, surtout quand l’argent disparaît comme une illusion. Malheureusement, Change Healthcare a surpassé sa partition en orchestrant cela. Dans un retournement d’intrigue digne d’un film à suspense, l’affilié mécontent nommé RansomHub a mis ses menaces à exécution avec une cerise sur le gâteau : précipiter une nouvelle demande de rançon en avril avec publication de dossiers ‘safeguardés’.
Le tout s’est avéré être un voyage long et sinueux vers un mea culpa, où même le PDG d’UnitedHealth a dû reconnaître que l’entreprise ne connaissait pas le B.A.-BA de la cybersécurité. Et pour ceux de Change Healthcare qui croyaient que le cloud était un simple cumulus blanc, leçons ont été apprises lorsqu’une plainte au Nebraska a révélé que des mots de passe faibles et l’absence d’authentification à deux facteurs ont ouvert la voie aux intrus.
Nous nous souvenons de ce sensationnel cyber-coup plus pour ses leçons que ses pertes : ne cessez jamais d’améliorer la cybersécurité, car dans le monde des données de santé, on ne veut pas que le processus de facturation ressemble à une farce comique. Finalement, si Change Healthcare pensait initialement opérer dans la santé, elle a appris que l’on jouait aussi dans le drame numérique – parce que, bien sûr, mieux vaut prévenir que… pirater !
Source : Techcrunch
