American Medical Collection Agency (AMCA), une société américaine de recouvrement de créances médicales et fournisseur de géants du secteur de la santé, a demandé la protection de la loi sur les faillites à la suite d'une violation massive de données touchant des clients de Quest Diagnostics, LabCorp et plusieurs autres établissements de santé. Les données exposées comprenaient des informations sur des tests médicaux, des numéros de sécurité sociale et d'autres informations personnelles connexes.
Les entreprises du secteur de la santé qui cherchent à réduire leurs coûts et à rester en phase avec le monde numériquement connecté d'aujourd'hui confient de nombreuses fonctions commerciales à des fournisseurs tiers. C'était le cas d'AMCA. Les géants du secteur de la santé, à savoir Quest Diagnostics et LabCorp, ont passé un contrat avec AMCA pour la facturation et le recouvrement des frais médicaux et, à ce titre, ont augmenté leur surface d'attaque pour les cybercriminels. À un moment donné entre le 1er août 2018 et le 30 mars 2019, des pirates informatiques se sont introduits dans AMCA et ont volé plus de 20 millions de dossiers de patients. Les responsables d'AMCA ont admis l'incident de sécurité et, naturellement, Quest, LabCorp et d'autres fournisseurs ont rompu tout lien avec le fournisseur.
En plus de perdre ses meilleurs clients, AMCA a passé des mois à essayer de rectifier la situation, de maintenir sa réputation et de gérer ses finances. Mais, en fin de compte, c'en était trop. Bloomberg rapporte que la violation des données a créé une "cascade d'événements", qui a entraîné "d'énormes dépenses que le débiteur n'était pas en mesure de supporter."
OK, nous connaissons le prix que l'AMCA a payé, mais qu'en est-il de Quest Diagnostics et LabCorp ? Ces entreprises ont-elles une part de responsabilité ? Une chose est sûre, ce n'est pas parce que vous externalisez des fonctions critiques à un tiers que vous externalisez le risque. Vous en êtes le propriétaire. Vous devez le gérer. Et si vous ne le faites pas, préparez-vous à des recours collectifs, à une atteinte à la réputation et à la marque, et à des pertes financières.
Les entreprises qui cherchent à nouer des relations commerciales avec des tiers devraient tenir compte des points suivants :
Les entreprises comme Quest Diagnostics et LabCorp ont besoin d'une approche globale pour gérer les risques liés aux tiers. Une vue d'ensemble du cycle de vie de la gestion des risques liés aux tiers (TPRM) comprend une planification adéquate, une évaluation de la diligence raisonnable, la négociation du contrat, la surveillance continue et la résiliation.
Livrée dans la simplicité du cloud, la plateforme Prevalent intègre une combinaison puissante d'évaluations automatisées, de surveillance continue et de partage de preuves pour la collaboration entre les entreprises et les fournisseurs - et une vue complète de vos fournisseurs de l'intérieur vers l'extérieur.
Il est difficile d'affirmer que la mise en place du programme, des processus et des solutions aurait permis d'empêcher ces violations. Mais avec un programme TPRM mature en place, ces entreprises auraient eu la visibilité nécessaire pour détecter les éventuelles défaillances de contrôle qui auraient pu conduire à ces violations.
Prevalent offre la solution la plus complète pour un programme de risque tiers efficace et performant. Pour en savoir plus sur Prevalent, contactez-nous pour une démonstration.
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024
Pourquoi les violations par des tiers sont en augmentation, qui est touché et ce que vous pouvez faire...
09/20/2024
Utilisez ces 6 conseils pour améliorer vos procédures d'intervention en cas de violation par un tiers.
09/17/2024