La brèche dans le système de Quest Diagnostics expose 11,9 millions de dossiers de clients ; elle souligne la nécessité pour les entreprises du secteur de la santé de protéger les informations de facturation.

Le 3 juin 2019, Quest Diagnostics, une société leader dans le domaine des tests de laboratoire clinique, a annoncé qu'un utilisateur non autorisé avait accédé aux informations personnelles de 11,9 millions de clients, y compris les numéros de sécurité sociale, les informations sur les comptes bancaires, les numéros de carte de crédit et les informations médicales, selon un dépôt auprès de la Securities and Exchange Commission (SEC).

Tiers responsable

American Medical Collection Agency (AMCA), un fournisseur de services de recouvrement de factures à Optum360, un entrepreneur de Quest, a informé Quest que quelqu'un a eu un accès non autorisé aux pages de paiement d'AMCA entre le 1er août 2018 et le 30 mars 2019. AMCA n'a pas encore précisé quelles données des individus ont été exposées, et UnitedHealth, la société mère d'Optum360, a fait savoir que ses systèmes Optum360 n'ont pas été affectés par cette violation. En réponse, Quest a suspendu les demandes de recouvrement auprès de l'AMCA.

Un gros problème qui prend de l'ampleur

L'ampleur de la violation de Quest met en évidence l'ampleur des risques que les tiers peuvent faire courir aux organisations. La violation de Quest est importante pour sa taille relative et sa représentation d'une tendance plus large - les pirates informatiques ciblant les entreprises de soins de santé pour exploiter les informations financières des patients - le Saint Graal pour les attaquants.

Bien que la brèche de Quest ne représente qu'une fraction de la taille de la plus grande brèche dans les soins de santé, elle a tout de même exposé une quantité importante de données. La plus grande violation des données de santé de l'histoire est l'attaque de 2014 contre Anthem Inc, au cours de laquelle des pirates ont volé ou compromis les dossiers de 79 millions de personnes. La brèche de Quest n'a exposé qu'une fraction de celle d'Anthem, mais cette attaque a dépassé la plus grande brèche de l'année dernière, qui a compromis les données de 2,65 millions de clients. Il est clair que ce problème prend de l'ampleur.

En outre, Quest a été victime d'une intrusion par le biais des pages de paiement d'AMCA. Les informations sur les soins de santé ne sont pas facilement monétisables, de sorte qu'une société de recouvrement de factures, comme AMCA, est une cible plus attrayante pour les pirates.

Une approche globale de la gestion des risques liés aux tiers est nécessaire

Cette violation souligne la nécessité pour les organisations de mettre en œuvre un programme complet de gestion des risques liés aux tiers, en particulier un programme qui surveille les domaines vulnérables tels que les portails de paiement et de connexion. Prevalent peut vous aider. Notre plateforme de gestion des risques pour les tiers comprend des capacités de surveillance des domaines afin de s'assurer que les protocoles de cryptage standard sont pris en charge et que le protocole HTTP Strict Transport Security (HSTS) est appliqué. En fait, Forrester a récemment désigné Prevalent comme un leader dans The Forrester New Wave™ : Cybersecurity Risk Rating Solutions et a noté que "Prevalent est la meilleure solution pour les entreprises qui veulent un outil TPRM avec des évaluations de risques intégrées cyber. Compte tenu de ses solides renseignements sur les risques et de ses fonctions complètes de gestion des risques, Prevalent est une option valable pour les professionnels de la sécurité et des risques qui recherchent un seul outil pour toutes les activités TPRM cyber ."

En tant que seule plate-forme unifiée spécialement conçue pour le secteur, qui intègre une combinaison puissante d'évaluations automatisées, de surveillance continue et de partage de preuves pour la collaboration entre les entreprises et les fournisseurs, Prevalent fournit la solution la plus complète pour un programme de risque de tiers efficace et hautement fonctionnel.

Pour en savoir plus sur la manière dont Prevalent peut vous aider à automatiser, rendre visible et étendre votre vidéo de gestion des risques liés aux tiers, téléchargez notre livre blanc sur les meilleures pratiques ou contactez-nous pour une démonstration.