Une société de recouvrement de créances médicales dépose le bilan après une violation de données médicales

American Medical Collection Agency (AMCA), une société américaine de recouvrement de créances médicales et fournisseur de géants du secteur de la santé, a demandé la protection de la loi sur les faillites à la suite d'une violation massive de données touchant des clients de Quest Diagnostics, LabCorp et plusieurs autres établissements de santé. Les données exposées comprenaient des informations sur des tests médicaux, des numéros de sécurité sociale et d'autres informations personnelles connexes.

Les entreprises du secteur de la santé qui cherchent à réduire leurs coûts et à rester en phase avec le monde numériquement connecté d'aujourd'hui confient de nombreuses fonctions commerciales à des fournisseurs tiers. C'était le cas d'AMCA. Les géants du secteur de la santé, à savoir Quest Diagnostics et LabCorp, ont passé un contrat avec AMCA pour la facturation et le recouvrement des frais médicaux et, à ce titre, ont augmenté leur surface d'attaque pour les cybercriminels. À un moment donné entre le 1er août 2018 et le 30 mars 2019, des pirates informatiques se sont introduits dans AMCA et ont volé plus de 20 millions de dossiers de patients. Les responsables d'AMCA ont admis l'incident de sécurité et, naturellement, Quest, LabCorp et d'autres fournisseurs ont rompu tout lien avec le fournisseur.

Oui, les violations ont des conséquences

En plus de perdre ses meilleurs clients, AMCA a passé des mois à essayer de rectifier la situation, de maintenir sa réputation et de gérer ses finances. Mais, en fin de compte, c'en était trop. Bloomberg rapporte que la violation des données a créé une "cascade d'événements", qui a entraîné "d'énormes dépenses que le débiteur n'était pas en mesure de supporter."

Trop peu, trop tard ?

OK, nous connaissons le prix que l'AMCA a payé, mais qu'en est-il de Quest Diagnostics et LabCorp ? Ces entreprises ont-elles une part de responsabilité ? Une chose est sûre, ce n'est pas parce que vous externalisez des fonctions critiques à un tiers que vous externalisez le risque. Vous en êtes le propriétaire. Vous devez le gérer. Et si vous ne le faites pas, préparez-vous à des recours collectifs, à une atteinte à la réputation et à la marque, et à des pertes financières.

Les entreprises qui cherchent à nouer des relations commerciales avec des tiers devraient tenir compte des points suivants :

• Quelles leçons ont été tirées de cette violation ?
• Leur a-t-il appris les risques posés par les fournisseurs tiers et les associés d'affaires ?
• Les futures cyberattaques pourraient-elles être évitées, et si oui, comment ?

Adopter un programme de gestion des risques liés aux tiers

Les entreprises comme Quest Diagnostics et LabCorp ont besoin d'une approche globale pour gérer les risques liés aux tiers. Une vue d'ensemble du cycle de vie de la gestion des risques liés aux tiers (TPRM) comprend une planification adéquate, une évaluation de la diligence raisonnable, la négociation du contrat, la surveillance continue et la résiliation.

Livrée dans la simplicité du cloud, la plateforme Prevalent intègre une combinaison puissante d'évaluations automatisées, de surveillance continue et de partage de preuves pour la collaboration entre les entreprises et les fournisseurs - et une vue complète de vos fournisseurs de l'intérieur vers l'extérieur.

• Évaluations des risques: Une approche " inside-out " qui permet de déterminer la conformité des fournisseurs aux contrôles de sécurité informatique et aux exigences en matière de confidentialité des données. Les conclusions et la gestion des mesures correctives entre un sous-traitant et ses tiers garantissent que les contrôles requis restent alignés sur l'appétit pour le risque et les niveaux de tolérance d'une entreprise.
  

• Contrôle continu: Une approche de l'extérieur vers l'intérieur qui fournit des informations immédiates pour réduire les surfaces à risque dans l'écosystème des fournisseurs. L'analyse native des vulnérabilités avec de multiples sources externes pour les renseignements sur les menaces cyber et la surveillance des risques commerciaux pour les informations opérationnelles, de marque, réglementaires, juridiques et financières vous permettent de voir au-delà de la santé tactique du fournisseur et d'obtenir une vue stratégique de l'entreprise qui détermine le risque global de sécurité des informations d'un fournisseur.
  

• Réseaux de partage des preuves: Une approche collaborative qui exploite un référentiel de questionnaires de fournisseurs pré-remplis pour économiser du temps et des ressources. Le partage permet une approche collaborative, évolutive et rentable de la réduction des risques entre les sous-traitants et les tiers.
  

Il est difficile d'affirmer que la mise en place du programme, des processus et des solutions aurait permis d'empêcher ces violations. Mais avec un programme TPRM mature en place, ces entreprises auraient eu la visibilité nécessaire pour détecter les éventuelles défaillances de contrôle qui auraient pu conduire à ces violations.

Prevalent offre la solution la plus complète pour un programme de risque tiers efficace et performant. Pour en savoir plus sur Prevalent, contactez-nous pour une démonstration.