Le 3 juin 2019, Quest Diagnostics, une société leader dans le domaine des tests de laboratoire clinique, a annoncé qu'un utilisateur non autorisé avait accédé aux informations personnelles de 11,9 millions de clients, y compris des numéros de sécurité sociale, des informations sur les comptes bancaires, des numéros de cartes de crédit et des informations médicales, selon un dépôt auprès de la Securities and Exchange Commission (SEC).
Tiers responsable
American Medical Collection Agency (AMCA), un fournisseur de services de recouvrement de factures pour Optum360, un contractant de Quest, a informé Quest que quelqu'un avait eu un accès non autorisé aux pages de paiement d'AMCA entre le 1er août 2018 et le 30 mars 2019. AMCA n'a pas encore précisé quelles données individuelles ont été exposées, et UnitedHealth, la société mère d'Optum360, a indiqué que ses systèmes Optum360 n'ont pas été affectés par cette violation. En réponse, Quest a suspendu les demandes de recouvrement adressées à AMCA.
Un gros problème qui s'aggrave
L'ampleur de la violation de Quest met en évidence l'importance des risques que les tiers peuvent faire peser sur les organisations. La faille de Quest est significative par sa taille relative et sa représentation d'une tendance plus large - les pirates informatiques ciblant les entreprises de soins de santé pour exploiter les informations financières des patients - le Saint Graal pour les attaquants.
Bien que la faille de Quest ne représente qu'une fraction de la taille de la plus grande faille dans le secteur de la santé, elle a tout de même exposé une quantité importante de données. La plus grande faille de l'histoire dans le secteur de la santé a été l'attaque de 2014 contre Anthem Inc. au cours de laquelle des pirates ont volé ou compromis les dossiers de 79 millions de personnes. La faille de Quest n'a exposé qu'une fraction de celle d'Anthem, mais cette attaque a dépassé la plus grande faille de l'année dernière, qui a compromis les données de 2,65 millions de clients. Il est clair que ce problème prend de l'ampleur.
En outre, Quest a été violé par le biais des pages de paiement d'AMCA. Les informations sur les soins de santé ne sont pas facilement monnayables, de sorte qu'une société de recouvrement de factures, comme AMCA, est une cible plus attrayante pour les pirates informatiques.
Une approche globale de la gestion des risques liés aux tiers est nécessaire
Cette violation souligne la nécessité pour les organisations de mettre en œuvre un programme complet de gestion des risques liés aux tiers, en particulier un programme qui surveille les domaines vulnérables tels que les portails de paiement et de connexion. Prevalent peut vous aider. Notre plateforme de gestion des risques tiers comprend des fonctionnalités de surveillance des domaines afin de s'assurer que les protocoles de cryptage standard de l'industrie sont pris en charge et que le protocole HTTP Strict Transport Security (HSTS) est appliqué. En fait, Forrester a récemment nommé Prevalent un leader dans The Forrester New Wave™ : Cybersecurity Risk Rating Solutions et a noté que "Prevalent est la meilleure solution pour les entreprises qui veulent un outil TPRM avec des évaluations intégrées des cyber-risques. Compte tenu de sa solide intelligence du risque et de ses fonctions complètes de gestion du risque, Prevalent est une option intéressante pour les professionnels de la sécurité et du risque qui recherchent un seul outil pour toutes les activités de TPRM cybernétique."
Prevalent est la seule plateforme unifiée du secteur à intégrer une combinaison puissante d'évaluations automatisées, de contrôle continu et de partage de preuves pour la collaboration entre les entreprises et les fournisseurs. Elle constitue la solution la plus complète pour un programme de gestion des risques des tiers efficace et performant.
Pour en savoir plus sur la façon dont Prevalent peut vous aider à apporter automatisation, visibilité et envergure à votre vidéo de gestion des risques liés aux tiers, téléchargez notre livre blanc sur les meilleures pratiques, ou contactez-nous pour une démonstration.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
