En 2015, Anthem a subi une atteinte colossale à la protection des données. 78,8 millions de dossiers médicaux ont été volés.
Cette année, l’assureur maladie a payé une somme de 115 M$ pour le règlement du recours collectif. Anthem a également dû payer 16 M$ à l’OCR (Office for Civil Rights) en raison du non-respect de la loi en matière de protection des données dans le secteur des soins de santé.
Tout a commencé par un courriel de spear phishing
L’atteinte à la protection des données d’Anthem a été un énorme choc en février 2015 en raison de son ampleur. Les atteintes à la protection des données dans le secteur de la santé étaient courantes, mais celle d’Anthem s’est produite à une toute autre échelle.
Avant l’annonce, le record peu enviable était détenu par Science Applications International Corporation, un fournisseur utilisé par des organismes de soins de santé, qui avait connu une brèche de 4,9 M$ en 2011.
Le groupe de pirates informatiques à l’origine de cet incident était manifestement compétent. Mandiant, l’entreprise de cybersécurité qui a participé à l’enquête a soupçonné qu’il s’agissait d’une cyberattaque parrainée par un État-nation. Les pirates ont réussi à accéder à l’entrepôt de données d’Anthem et ont exfiltré un énorme volume de données sans être détectés.
L’attaque initiale a été lancée environ un an avant sa découverte. Bien qu’elle ait été sophistiquée, elle n’était pas le résultat d’un piratage élaboré, ni d’une attaque zero day, mais d’emails de phishing.
Au moins un employé a répondu à un email de phishing envoyé à l’une des filiales d’Anthem. Grâce à cela, les attaquants ont pu trouver le point d’entrée dont ils avaient besoin pour accéder à la base de données des membres du régime de soins de santé d’Anthem et lancer une nouvelle attaque.
Le règlement sur l’atteinte à la protection des données d’Anthem est la plus importante pénalité jamais imposée pour ce genre d’incident dans le secteur de la santé
L’OCR du Département de la Santé et des Services sociaux des États-Unis est chargé de l’enquête sur les atteintes à la protection des données médicales qui entraînent l’exposition ou le vol de 500 dossiers ou plus. Une enquête approfondie sur la brèche d’Anthem était donc une de ses priorités compte tenu de son ampleur.
Une pénalité pour non-conformité aux règles de la Health Insurance Portability and Accountability Act (HIPAA) était l’une des sanctions les plus probables, car cette loi oblige les organismes de santé de protéger leurs données. De plus, en considérant l’ampleur de la cyberattaque, on pouvait très bien s’attendre à ce qu’Anthem subisse la plus lourde peine jamais imposée dans le secteur des soins de santé.
Avant cette attaque cybercriminelle, la pénalité la plus élevée pour un incident similaire était de 5,55 millions de dollars. Ce montant était convenu entre l’OCR et Advocate Health Care Network en 2016. Celle d’Anthem était presque trois fois ce montant, ce qui reflète la gravité de l’attaque, le nombre de personnes touchées et la mesure dans laquelle les règles stipulées par la HIPAA n’auraient pas été respectées.
L’OCR a annoncé qu’Anthem avait enfreint cinq dispositions des règles de l’HIPAA et, ce faisant, n’avait pas réussi à empêcher la violation de la loi ni à en limiter les conséquences. Le règlement de la violation de données a toutefois été conclu sans reconnaissance de responsabilité.
L’amende réglementaire représente une petite fraction du coût total de l’atteinte à la protection des données dans l’affaire Anthem. En plus de cela, l’enseigne a dû faire face à d’autres poursuites judiciaires. Le recours collectif consolidé a été réglé en janvier 2018 pour un montant total de 115 M$.
Le document de règlement du recours collectif indiquait qu’Anthem avait déjà versé 2,5 M$ à des consultants suite à cet incident et dépensé 31 M$ pour l’envoi de lettres d’avis. 115 M$ avaient également servi à améliorer la sécurité et 112 M$ avaient été versés aux personnes concernées pour leur fournir des services de surveillance de crédit et de protection contre le vol d’identité.
En rajoutant le montant de 115 M$ pour le règlement du recours collectif et les 16 millions de dollars qui ont servi au règlement de l’OCR, le coût total de cette attaque s’élevait donc à 391,5 M$.
Il s’agit donc de l’attaque de phishing la plus coûteuse dans le domaine de la santé. Ceci démontre à quel point il est important d’adopter une stratégie de défense en profondeur pour se protéger contre les attaques de phishing.