Comment le phishing non détecté crée un risque de violation de données
Prime Valley Healthcare, Inc. est un système de santé à but non lucratif de taille moyenne, issu de l'intégration en 2013 de deux systèmes de santé.
Aujourd'hui, Prime Valley compte 36 hôpitaux, 550 sites de soins, 4 500 lits, plus de 5 300 médecins actifs et 30 000 employés. Au cours des deux dernières années, le chiffre d'affaires annuel a augmenté de 700 millions de dollars et le bénéfice d'exploitation a plus que doublé pour atteindre 500 millions de dollars.
Ces dernières années, la réforme des soins de santé aux États-Unis s'est concentrée sur le contrôle de l'augmentation rapide des coûts de santé et sur l'amélioration de l'accès financier aux soins de santé.
La prestation de soins de santé n'a pas été touchée dans la même mesure par la révolution qui a transformé numériquement presque tous les autres aspects de la société, bien qu'il y ait eu une augmentation récente des pratiques de télésanté au cours de la pandémie de Covid-19.
L'absence de normes nationales pour la saisie, le stockage, la communication, le traitement et la présentation des informations sur la santé constitue un obstacle à l'utilisation accrue des technologies de la communication et de l'information. Un autre obstacle est la préoccupation concernant le respect de la vie privée et la confidentialité des dossiers médicaux des patients (informations sur la santé des patients), ainsi que les questions de sécurité des données.
Meghan Compton, RSSI de Prime Valley Healthcare, Inc. était en train de consulter les rapports d'évaluation des risques de l'infrastructure informatique du matin lorsqu'elle a reçu un appel d'Alex, un membre de son équipe de sécurité. Alex surveillait le compte en ligne du Dr Froth. Il s'agit d'un nouveau médecin qui vient de rejoindre le réseau de médecins de Prime Valley. Le score de risque du Dr Froth a augmenté au cours du mois dernier, avec notamment des connexions multiples sur son compte à partir de différents bureaux et une activité en provenance d'Europe à des heures bizarres de la journée.
Alors que l'équipe de sécurité surveille le score de risque du Dr Thomas Froth, elle constate qu'un autre score de risque augmente, cette fois pour le responsable des fusions et acquisitions, Roy Smith. C'est la même adresse IP que celle liée au Dr Froth qui est également liée au compte de Roy Smith.
Il semble que Prime Valley ait rejoint la triste tendance des violations causées par une attaque de phishing non détectée.
En raison de l'évaluation croissante des risques, Prime Valley a dû avertir le président-directeur général et mettre en place une enquête sur les menaces. La pression monte sur l'équipe de Meghan pour qu'elle identifie exactement ce qui s'est passé et s'assure que les données des patients n'ont pas été violées.
Une semaine plus tard, Alex a trouvé quelque chose. Alex présente à Meghan les principales conclusions de son analyse à l'aide d'IBM QRadar Advisor with Watson. Il a remonté la piste de l'attaque jusqu'à un ancien logiciel utilisé par le réseau de médecins. Les attaquants étaient présents dans le réseau de médecins trois mois avant que Prime Valley Healthcare, Inc. ne finalise l'acquisition. Les attaquants se sont introduits dans le réseau de médecins par le biais d'un message Facebook.
L'équipe chargée des fusions et acquisitions a dû être tellement pressée qu'elle a oublié de s'assurer que le réseau était sécurisé avant de connecter les comptes au réseau d'entreprise de Prime Valley. En utilisant IBM X-Force Exchange pour mener une enquête sur les menaces, le chasseur de menaces de l'équipe de Meghan a identifié un schéma provenant des Balkans et responsable d'autres attaques contre le système de santé américain.
Qu'est-ce que la cybersécurité ?
Trop d'événements. Trop de fausses alarmes. Trop de systèmes pour suivre les menaces de la racine aux dommages. Et pas assez d'expertise pour gérer toutes ces données et permettre à une équipe de garder une longueur d'avance sur l'ennemi. En réalité, les analystes ont besoin de l'aide de l'intelligence artificielle (IA).
L'IA et l'apprentissage automatique permettent de trouver plus facilement et plus rapidement la cause première et la chaîne d'événements comprenant les menaces persistantes avancées et les activités insidieuses des initiés.
Les cyberattaques ne cessent de gagner en ampleur et en complexité. Dans le même temps, les budgets informatiques sont limités et les talents en matière de sécurité sont tout simplement dépassés par la demande. Le centre d'opérations de sécurité (SOC) moderne, qu'il soit sur site ou virtuel, doit déployer une combinaison de technologies et de personnes pour combler le fossé entre les attaques et la remédiation.
Avec le bon processus, vous pouvez obtenir une visibilité claire sur les activités de l'infrastructure à l'échelle de l'entreprise, associée à la capacité de répondre de manière dynamique pour aider à protéger contre les menaces avancées, persistantes et opportunistes, qu'elles viennent de l'extérieur ou de l'intérieur de l'organisation.