in

Faille de sécurité et compromission de données chez l’assureur-santé Anthem : quels enseignements pouvons-nous en tirer ? Par Luc Delpha, Directeur de l’offre Gestion des risques et sécurité de l’information de Provadys

Plusieurs éléments sont frappants dans cette compromission. Tout d’abord, son ampleur est particulièrement importante puisque près de 80 millions de clients pourraient être concernés, on parle ici d’un quart de la population américaine, ramené à la France, il faut imaginer une compromission concernant les données de l’ensemble de la population…

https://www.globalsecuritymag.fr/IMG/jpg/photo_luc_delpha.jpgEnsuite, bien que les données concernées, ne comprennent pas de numéros de cartes bancaires, elles restent très sensibles. En effet, il s’agit essentiellement de coordonnées de clients avec en particulier les numéros de sécurité sociale. Or, rappelons-le, ces données permettent d’usurper assez facilement l’identité d’un individu aux Etats-Unis.

Les enseignements principaux :

  • Une Cyber-attaque peut conduire à une compromission de données de très grande ampleur même si les données n’ont pas une valeur marchande directe et même dans un secteur aussi mature en matière de SSI que l’assurance.
  • La maîtrise de la communication de crise permet de réduire sensiblement l’impact de la compromission
    • Les forces de l’ordre ont été prévenues rapidement
    • La communication vers les clients et les médias a été bien maîtrisée ce qui est certainement dû au fait que ANTHEM devait être bien préparé à gérer ce type de crise.
  1. La compromission a été annoncée par l’entreprise victime elle-même et non pas par des tiers.
  2. Un communiqué clair et concis a été mis en ligne sur le site web de l’entreprise.
  3. Les faits connus ont été énoncés sans chercher à pointer du doigt un responsable avant que les éléments suffisants n’aient été réunis
  4. Des plateformes d’information web et téléphoniques ont été mises en place pour les clients
  5. Une notification individuelle des clients concernés est en cours de déploiement
  6. Une équipe de spécialistes en inforensic a été missionnée pour l’analyse des conditions techniques de la compromission et l’identification des mesures de sécurité à mettre en œuvre.
  7. Le CEO de l’entreprise s’est montré en première ligne pour incarner la communication de l’entreprise sur le sujet.
  8. Des mesures de protection des clients affectés et de limitation des impacts des potentielles usurpations d’identités, ont été annoncées.
  • L’existence de régulations fortes applicables à l’entreprise concernée ne suffit pas à éliminer complètement le risque de compromission. En effet, c’est un acteur majeur concerné par la réglementation HIPAA (Health Insurance Portability and Accountability Act qui adresse entre autres la protection des données de santé) qui a été touché.
  • Le consommateur dont les données personnelles ont été compromises doit redoubler de vigilance quant aux usages frauduleux de son identité numérique qui pourraient en découler. A défaut de pouvoir être assuré du fait qu’aucune des entreprises auxquelles il les a confiées n’a été compromise, cette vigilance doit devenir permanente. Dans une certaine mesure il en est de même pour les données cartes bancaires.

Les compromissions massives et successives de données personnelles (adresses, numéros de sécurité sociale…) qui, contrairement aux données Cartes Bancaires, ne peuvent être simplement/rapidement modifiées ou invalidées, ne vont-elles pas, à termes, rendre de plus en plus difficile l’établissement du lien entre une fraude ou usurpation d’identité et le lieu de compromission d’origine de la donnée.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.