Faille de sécurité et compromission de données chez l’assureur-santé Anthem : quels enseignements pouvons-nous en tirer ? Par Luc Delpha, Directeur de l’offre Gestion des risques et sécurité de l’information de Provadys

Mobile acquiring with signature

Plusieurs éléments sont frappants dans cette compromission. Tout d’abord, son ampleur est particulièrement importante puisque près de 80 millions de clients pourraient être concernés, on parle ici d’un quart de la population américaine, ramené à la France, il faut imaginer une compromission concernant les données de l’ensemble de la population…

http://www.globalsecuritymag.fr/IMG/jpg/photo_luc_delpha.jpgEnsuite, bien que les données concernées, ne comprennent pas de numéros de cartes bancaires, elles restent très sensibles. En effet, il s’agit essentiellement de coordonnées de clients avec en particulier les numéros de sécurité sociale. Or, rappelons-le, ces données permettent d’usurper assez facilement l’identité d’un individu aux Etats-Unis.

Les enseignements principaux :

  • Une Cyber-attaque peut conduire à une compromission de données de très grande ampleur même si les données n’ont pas une valeur marchande directe et même dans un secteur aussi mature en matière de SSI que l’assurance.
  • La maîtrise de la communication de crise permet de réduire sensiblement l’impact de la compromission
    • Les forces de l’ordre ont été prévenues rapidement
    • La communication vers les clients et les médias a été bien maîtrisée ce qui est certainement dû au fait que ANTHEM devait être bien préparé à gérer ce type de crise.
  1. La compromission a été annoncée par l’entreprise victime elle-même et non pas par des tiers.
  2. Un communiqué clair et concis a été mis en ligne sur le site web de l’entreprise.
  3. Les faits connus ont été énoncés sans chercher à pointer du doigt un responsable avant que les éléments suffisants n’aient été réunis
  4. Des plateformes d’information web et téléphoniques ont été mises en place pour les clients
  5. Une notification individuelle des clients concernés est en cours de déploiement
  6. Une équipe de spécialistes en inforensic a été missionnée pour l’analyse des conditions techniques de la compromission et l’identification des mesures de sécurité à mettre en œuvre.
  7. Le CEO de l’entreprise s’est montré en première ligne pour incarner la communication de l’entreprise sur le sujet.
  8. Des mesures de protection des clients affectés et de limitation des impacts des potentielles usurpations d’identités, ont été annoncées.
  • L’existence de régulations fortes applicables à l’entreprise concernée ne suffit pas à éliminer complètement le risque de compromission. En effet, c’est un acteur majeur concerné par la réglementation HIPAA (Health Insurance Portability and Accountability Act qui adresse entre autres la protection des données de santé) qui a été touché.
  • Le consommateur dont les données personnelles ont été compromises doit redoubler de vigilance quant aux usages frauduleux de son identité numérique qui pourraient en découler. A défaut de pouvoir être assuré du fait qu’aucune des entreprises auxquelles il les a confiées n’a été compromise, cette vigilance doit devenir permanente. Dans une certaine mesure il en est de même pour les données cartes bancaires.

Les compromissions massives et successives de données personnelles (adresses, numéros de sécurité sociale…) qui, contrairement aux données Cartes Bancaires, ne peuvent être simplement/rapidement modifiées ou invalidées, ne vont-elles pas, à termes, rendre de plus en plus difficile l’établissement du lien entre une fraude ou usurpation d’identité et le lieu de compromission d’origine de la donnée.

Related Topics
Author
By
@coesteve1
Related Posts

Readers Comments


Add Your Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

In The News

Faille de sécurité et compromission de données chez l’assureur-santé Anthem : quels enseignements pouvons-nous en tirer ? Par Luc Delpha, Directeur de l’offre Gestion des risques et sécurité de l’information de Provadys

Mobile acquiring with signature 10th février, 2015

Plusieurs éléments sont frappants dans cette compromission. Tout d’abord, son ampleur est particulièrement importante puisque près de 80 millions de clients pourraient être concernés, on parle ici d’un quart de la population américaine, ramené à la France, il faut imaginer une compromission concernant les données de l’ensemble de la population…

http://www.globalsecuritymag.fr/IMG/jpg/photo_luc_delpha.jpgEnsuite, bien que les données concernées, ne comprennent pas de numéros de cartes bancaires, elles restent très sensibles. En effet, il s’agit essentiellement de coordonnées de clients avec en particulier les numéros de sécurité sociale. Or, rappelons-le, ces données permettent d’usurper assez facilement l’identité d’un individu aux Etats-Unis.

Les enseignements principaux :

  • Une Cyber-attaque peut conduire à une compromission de données de très grande ampleur même si les données n’ont pas une valeur marchande directe et même dans un secteur aussi mature en matière de SSI que l’assurance.
  • La maîtrise de la communication de crise permet de réduire sensiblement l’impact de la compromission
    • Les forces de l’ordre ont été prévenues rapidement
    • La communication vers les clients et les médias a été bien maîtrisée ce qui est certainement dû au fait que ANTHEM devait être bien préparé à gérer ce type de crise.
  1. La compromission a été annoncée par l’entreprise victime elle-même et non pas par des tiers.
  2. Un communiqué clair et concis a été mis en ligne sur le site web de l’entreprise.
  3. Les faits connus ont été énoncés sans chercher à pointer du doigt un responsable avant que les éléments suffisants n’aient été réunis
  4. Des plateformes d’information web et téléphoniques ont été mises en place pour les clients
  5. Une notification individuelle des clients concernés est en cours de déploiement
  6. Une équipe de spécialistes en inforensic a été missionnée pour l’analyse des conditions techniques de la compromission et l’identification des mesures de sécurité à mettre en œuvre.
  7. Le CEO de l’entreprise s’est montré en première ligne pour incarner la communication de l’entreprise sur le sujet.
  8. Des mesures de protection des clients affectés et de limitation des impacts des potentielles usurpations d’identités, ont été annoncées.
  • L’existence de régulations fortes applicables à l’entreprise concernée ne suffit pas à éliminer complètement le risque de compromission. En effet, c’est un acteur majeur concerné par la réglementation HIPAA (Health Insurance Portability and Accountability Act qui adresse entre autres la protection des données de santé) qui a été touché.
  • Le consommateur dont les données personnelles ont été compromises doit redoubler de vigilance quant aux usages frauduleux de son identité numérique qui pourraient en découler. A défaut de pouvoir être assuré du fait qu’aucune des entreprises auxquelles il les a confiées n’a été compromise, cette vigilance doit devenir permanente. Dans une certaine mesure il en est de même pour les données cartes bancaires.

Les compromissions massives et successives de données personnelles (adresses, numéros de sécurité sociale…) qui, contrairement aux données Cartes Bancaires, ne peuvent être simplement/rapidement modifiées ou invalidées, ne vont-elles pas, à termes, rendre de plus en plus difficile l’établissement du lien entre une fraude ou usurpation d’identité et le lieu de compromission d’origine de la donnée.

By
@coesteve1
backtotop