Que s’est-il passé lors de la violation de données d’iRhythm ?

Des pirates ont accédé à des informations de santé de patients en compromettant des applications hébergées par un fournisseur tiers, et non les systèmes internes d’iRhythm.

Comment les attaquants ont-ils contourné les défenses de sécurité propres à iRhythm ?

Ils ont violé l’environnement cloud du fournisseur tiers, de sorte qu’ils n’ont jamais eu à pénétrer le périmètre réseau d’iRhythm.

Pourquoi un VPN ne peut-il pas empêcher des violations comme celle-ci ?

Un VPN ne protège que les données en transit sur le réseau d’une organisation ; il ne sécurise pas les données stockées ou traitées dans l’infrastructure cloud d’un fournisseur externe.

Quel angle mort les applications hébergées par des tiers créent-elles pour les organisations de santé ?

La responsabilité en matière de sécurité devient fragmentée, car le fournisseur contrôle l’accès, les correctifs et la surveillance, tandis que l’organisation de santé n’a qu’une visibilité contractuelle limitée sur les pratiques de sécurité quotidiennes.

L’incident iRhythm s’inscrit-il dans un schéma plus large ?

Oui, l’article souligne une tendance croissante d’attaques contre les infrastructures des fournisseurs de soins de santé, notamment une violation récente chez Novo Nordisk et un point d’entrée similaire par un fournisseur dans l’attaque par ransomware contre Cropwise.

Violation de données chez iRhythm : des applications cloud tierces exposent les données des patients

Une violation de données de santé chez iRhythm, l’entreprise de surveillance cardiaque, a exposé des informations de santé de patients après que des attaquants ont accédé à des applications hébergées par des tiers en dehors de l’infrastructure directe de l’entreprise. L’incident survient juste après une violation signalée chez Novo Nordisk et renforce un schéma que les professionnels de la sécurité ne cessent de dénoncer : les données de santé ne sont jamais plus sûres que le maillon le plus faible de leur chaîne de fournisseurs. Pour les patients comme pour les prestataires, l’affaire iRhythm rappelle brutalement que l’exposition des données de santé via le cloud de tiers est aujourd’hui l’une des surfaces d’attaque les plus lourdes de conséquences en médecine.

Ce qui s’est passé dans la violation chez iRhythm

iRhythm a révélé que des pirates ont accédé à des applications hébergées par un fournisseur tiers, et non aux systèmes internes d’iRhythm, et ont pu extraire des informations de santé de patients par ce biais. L’entreprise, qui fabrique des dispositifs cardiaques portables comme le patch Zio, manipule des données extrêmement sensibles, notamment des enregistrements physiologiques et des dossiers de santé personnellement identifiables liés à des affections cardiaques.

Si le nombre exact de dossiers concernés et les méthodes précises utilisées n’ont pas été entièrement publiés, le mécanisme central est significatif : les attaquants n’ont pas eu besoin de percer le périmètre d’iRhythm. Ils sont passés par un fournisseur. Cette distinction est capitale pour la manière dont les entreprises et les patients doivent appréhender le risque.

Pourquoi l’hébergement cloud tiers crée des angles morts que les VPN ne peuvent combler

De nombreuses organisations, y compris les prestataires de soins de santé, déploient des VPN pour chiffrer le trafic et restreindre l’accès aux systèmes internes. Les VPN sont un outil légitime et utile pour protéger les données en transit sur les réseaux qu’une organisation contrôle. Mais lorsque les données des patients résident dans des applications hébergées par un fournisseur externe, sur une infrastructure cloud distincte, un VPN protégeant le réseau propre d’iRhythm ne fait rien pour sécuriser cet environnement.

Les applications hébergées par des tiers fonctionnent selon la posture de sécurité du fournisseur, ses contrôles d’accès, ses calendriers de correctifs et ses capacités de détection des incidents. Les organisations de santé n’ont souvent qu’une visibilité contractuelle limitée sur la manière dont ces fournisseurs gèrent la sécurité au quotidien. Ce n’est pas un problème de niche : cela reflète ce qui s’est passé dans l’attaque par ransomware contre Cropwise, où une plateforme fournisseur ciblée est devenue le point d’entrée pour des attaquants cherchant à dérober des données précieuses stockées en dehors du périmètre durci de l’organisation principale.

L’angle mort est structurel. Lorsque les données migrent vers un environnement tiers, la responsabilité de sécurité se fragmente, et une violation chez le fournisseur devient une violation pour chaque organisation dont les données s’y trouvent.

Un schéma croissant d’attaques contre les infrastructures des fournisseurs de soins de santé

La violation chez iRhythm n’est pas un cas isolé. Ces dernières années, les organisations de santé ont été touchées à plusieurs reprises par le biais de leurs dépendances vis-à-vis des fournisseurs. L’incident de Change Healthcare a exposé les dossiers d’environ 100 millions de personnes après que des attaquants ont compromis un fournisseur critique d’infrastructures de paiement et de prescription. Les plateformes de télésanté, les sociétés de facturation, les éditeurs de DSE et les dépôts de données des dispositifs sont tous devenus des cibles privilégiées parce qu’ils agrègent simultanément les dossiers de dizaines ou de centaines de clients du secteur.

Pour les attaquants, l’équation économique est simple. Percer une seule plateforme cloud tierce qui dessert vingt organisations de santé permet d’obtenir vingt fois plus de données pour un effort à peu près égal. Les données de santé atteignent des prix élevés sur les marchés criminels parce qu’elles contiennent des historiques médicaux, des informations d’assurance, des dates de naissance et des numéros de sécurité sociale regroupés, ce qui les rend bien plus utiles pour la fraude et le vol d’identité que les seuls identifiants financiers.

La divulgation d’iRhythm survenant si près de l’incident Novo Nordisk suggère soit une campagne coordonnée visant le secteur de la santé, soit, plus plausiblement, que les attaquants sondent systématiquement les écosystèmes de fournisseurs que les entreprises de santé partagent.

Les contrôles de confidentialité que les patients et les consommateurs de soins de santé devraient exiger maintenant

Les patients ont peu de contrôle direct sur la manière dont les entreprises de santé gèrent leurs relations avec les fournisseurs, mais ils ne sont pas totalement dépourvus de recours ou de levier.

Renseignez-vous sur l’emplacement des données. Lorsqu’ils s’inscrivent à des programmes de surveillance à distance, à des services de télésanté ou à toute plateforme de santé numérique, les patients peuvent demander directement : où mes données sont-elles stockées, et qui d’autre y a accès ? Les prestataires devraient pouvoir répondre clairement. Les réponses vagues sont un signal à prendre en compte.

Examinez attentivement les autorisations HIPAA. De nombreux patients signent de larges autorisations sans lire quels tiers peuvent recevoir leurs données. Ces documents détaillent les relations avec les fournisseurs et les permissions de partage de données. Les lire prend du temps, mais permet de prendre conscience de la surface d’exposition.

Surveillez les notifications de violation. En vertu de la loi HIPAA, les entités couvertes sont tenues d’informer les personnes concernées des violations touchant leurs informations de santé protégées. Les patients qui reçoivent ces notifications doivent les prendre au sérieux, vérifier quelles données précises étaient concernées et envisager de geler leur crédit ou de placer des alertes à la fraude si des numéros de sécurité sociale ou des données financières figuraient parmi les enregistrements exposés.

Pour les organisations de santé et les équipes d’approvisionnement, la demande opérationnelle est celle d’audits de sécurité des fournisseurs dotés de véritables moyens. Les programmes de gestion des risques liés aux tiers incluant des exigences contractuelles de sécurité, des tests d’intrusion réguliers des applications hébergées par les fournisseurs et des protocoles documentés de réponse aux incidents devraient être des attentes de base, et non des ajouts optionnels.

Ce que cela signifie pour vous

La violation chez iRhythm souligne que la confidentialité des patients dans la santé numérique dépend de l’ensemble de la chaîne de fournisseurs, et pas seulement de l’organisation dont le nom figure sur l’appareil ou l’application. Un VPN, des mots de passe robustes ou l’authentification à deux facteurs sur votre portail patient ne protégeront pas les données une fois qu’elles auront été copiées vers une application cloud tierce que l’entreprise de santé elle-même ne sécurise pas directement.

Pour le grand public consommateur de soins de santé, l’étape la plus pratique à l’heure actuelle consiste à auditer votre propre empreinte de santé numérique. Dressez la liste des applications, des services de surveillance à distance et des portails patients que vous utilisez, et passez en revue leurs politiques de confidentialité à la recherche de références à des sous-traitants de données tiers. Si un service ne peut pas expliquer clairement qui détient vos données et comment elles sont protégées, c’est une information qu’il vaut mieux connaître avant qu’une notification de violation n’arrive dans votre boîte mail.

Les organisations de santé qui veulent sérieusement combler ces lacunes doivent aller au-delà des défenses périmétriques et considérer la sécurité de leurs fournisseurs comme un prolongement de la leur. L’affaire iRhythm montre clairement que la question n’est plus de savoir si les données de santé dans les environnements cloud tiers seront ciblées. La question est de savoir avec quelle rapidité les organisations et les régulateurs combleront les lacunes en matière de responsabilité qui rendent ces attaques si régulièrement fructueuses.