2015 ne fait que commencer, mais la récente brèche de données pourrait s’avérer être la plus importante de l’année. Anthem, la deuxième plus grande compagnie d’assurances aux États-Unis, a révélé dernièrement que des pirates avaient eu accès à sa base de données, compromettant plus de 80 millions de dossiers de clients dans son sillage.
Il va sans dire que c’est une très mauvaise nouvelle pour Anthem. Mais ce l’est aussi pour les entreprises de tous genres. L’ampleur et la nature de cette brèche, ainsi que ses répercussions, devraient être considérées comme représentatives de la valeur croissante que présentent les données des clients pour les cybercriminels, ce qui laisse présager une intensification des cyberattaques au cours des mois et des années à venir. Pour assurer leur sécurité dans cet environnement, les entreprises doivent faire de la sensibilisation à la sécurité de l’information une priorité absolue.
Une brèche massive
Au dire de Vitor De Souza, un expert en sécurité informatique, cette brèche représente la plus importante atteinte à la protection des données liées aux soins de santé à jamais survenir, a rapporté le Indianapolis Star. Les données volées, qui concernent des clients actuels et passés de la compagnie d’assurances, contenaient un large éventail de renseignements personnels, notamment les noms, dates de naissance, numéros de sécurité de sociale, adresses postales et électroniques et revenus des clients.
« Lors de cette brèche de sécurité, les pirates ont eu accès aux renseignements personnels des associés de Antham, y compris aux miens », a indiqué Joseph Swedish, le PDG de Anthem, dans une lettre adressée aux clients. « Nous partageons vos inquiétudes et votre frustration, et je vous assure que nous travaillons jour et nuit pour prendre toutes les dispositions nécessaires afin de sécuriser encore davantage vos données. »
Anthem a souligné que rien n’indique que les pirates ont eu accès à des numéros de carte de crédit lors de la cyberattaque. Ils n’ont pas eu accès non plus aux renseignements médicaux des clients.
« Les pirates réalisent maintenant qu’ils peuvent profiter tout aussi bien des renseignements personnels que des numéros de carte de crédit des clients. »
Alors que cet aspect pourrait sembler positif, cela illustre aussi combien le domaine de la cybersécurité a évolué au cours des dernières années. Les pirates se rendent maintenant compte qu’ils n’ont pas à cibler les finances des particuliers directement par le vol de leur numéro de carte de crédit ou de leurs données médicales, puisque leurs renseignements personnels font aussi bien l’affaire. Les pirates peuvent se servir de ces données pour commettre des vols et des fraudes, ou vendre l’information sur le marché noir à d’autres criminels.
Cela veut dire que la quantité et l’éventail d’informations que les entreprises doivent protéger augmente, et que les pirates se montrent de plus en plus raffinés et tenaces dans leurs efforts pour voler ces données.
Les conséquences dévastatrices
Étant donné que les pirates n’ont eu accès à aucun renseignement médical, cette brèche ne constitue pas une violation aux termes de la HIPAA. En revanche, cela n’amoindrit pas la gravité de l’incident pour Anthem. D’abord et avant tout, cette brèche a indéniablement entaché la réputation de l’entreprise et (vraisemblablement) de façon permanente. Il est à peu près certain que cette situation entraînera une perte considérable de revenus pour la compagnie dans les années à venir.
Pour empirer les choses, d’autres cybercriminels se livrent maintenant à une arnaque par courriel qui cible les personnes touchées par la brèche. Les courriels d’hameçonnage prétendent provenir de Anthem, alors qu’il s’agit en fait d’une tactique destinée à inciter les destinataires à dévoiler leur numéro de carde de crédit ou de sécurité sociale. Cette arnaque aggravera et prolongera encore plus les répercussions de la brèche de données.
De surcroît, un certain nombre des clients touchés ont déjà intenté des poursuites. Comme l’a signalé le magazine Fortune, ces poursuites allèguent que Anthem n’a pas pris les mesures voulues pour protéger les données de ses clients contre les cybermenaces. La source a révélé que ces poursuites, déposées en Alabama et en Californie, pourraient éventuellement être regroupées avec d’autres plaintes dans le cadre d’un recours collectif.
Deux poursuites ont été déposées, et d’autres risquent de suivre.Améliorer les cyberdéfenses
Les poursuites auxquelles Anthem doit maintenant faire face mettent principalement l’accent sur le fait que l’entreprise n’a pas chiffré les données de ses clients qui ont par la suite été volées. Il s’agit d’une mesure importante que la majorité des entreprises devrait adopter.
La sensibilisation à la sécurité de l’information et la formation des employés et du personnel des TI sont cependant des mesures encore plus importantes. La plupart des pirates choisiront leurs cibles en misant sur les possibilités à exploiter – des possibilités que des travailleurs non formés créent en ne respectant pas des bonnes pratiques. En faisant de la sensibilisation à la sécurité de l’information une priorité dans l’ensemble de l’organisation, les chefs d’entreprise peuvent améliorer grandement la qualité globale de leurs cyberdéfenses.