Les leçons à tirer des attaques des plateformes de Tiers payant - 1er « incident majeur » à caractère systémique sur la Place de l’assurance.
A la fin de mois de janvier, les plateformes de tiers payant Santé des sociétés VIAMEDIS et ALMERYS informaient les organismes complémentaire santé d’assurance maladie (OCAM) qui ont recours à leurs services qu’elles venaient de subir une cyberattaque affectant les données personnelles des 33 millions d’assurés dont la gestion leur était confiée.
Alors que les fonctionnalités attachées au Tiers Payant sont situées au cœur des traitements nécessaires aux remboursements des soins de santé et que lesdites plateformes sont interconnectées aux systèmes d’information (SI) des organismes assureurs à plusieurs niveaux, il s’en est suivi une situation de crise sans précédent compte tenu notamment des risques importants de propagation des attaques à l’ensemble des SI et des dommages collatéraux envisageables pour tout un chacun.
Les équipes de ProbeeCy ont accompagné les OCAM dès le 1er jour de cette crise et pendant les 3 semaines qu’elle a duré jusqu’au récent rétablissement de l’ensemble des acteurs. Notre activité support auprès des RSSI, des DPO, des DSI, des services de communication et des directions générales fut particulièrement dense et pour le moins riche d’enseignements sur les limites de nos capacités de défense que ce soit à l’échelle des opérateurs comme à celle du système tout entier.
Sur les plateformes de Tiers Payant - sous-traitants
Suite aux enquêtes FORENSIC qui ont été diligentées à l’initiative des deux plateformes, nous savons aujourd’hui que :
- les deux attaques procèdent d’une connexion à l’interface dédiée aux professionnels de santé, par l’usage de logins et de mots de passe de quelques-uns de ces professionnels de santé récupérés sur le darknet
- et qu’elles ont eu pour finalité le téléchargement des données personnelles des 33 millions d’assurés gérés ou archivés (nom, prénom, date de naissance, rang de naissance, NIR, référence interne, nom de la mutuelle, n° de contrat de la mutuelle, garanties ouvertes au TP).
Si les hackers ne sont pas véritablement entrés dans les SI des sous-traitants et qu’aucun virus n’y a été déposé et activé, nous n’en savions rien de manière certaine et définitive, le jour où l’attaque a été annoncée aux OCAM.
Ce contexte d’incertitude aurait dû faire prévaloir un principe de précaution, du moins de sécurité totale et induire la mise en place d’une organisation à même d’offrir toutes les garanties de réactivité et de compétences sur le plan technique.
De ce point de vue, la communication des sous-traitants sur l’incident comme sur la gestion de crise s’est avérée particulièrement insuffisante, voire inadaptée. Elle doit être totalement repensée de manière à garantir aux donneurs d’ordre leur propre sécurité informatique ainsi que leur capacité de production de services. A titre d’illustration, l’attaque a eu lieu dès le 22 janvier, les plateformes n’en ont pris connaissance qu’entre le 29 et le 31 janvier et les OCAM ont reçu les premières informations les 31 janvier et 1er février. De plus, cette information sur les attaques a été réalisée sous forme de publimailings dont les contenus avaient un caractère principalement réglementaire pour ne pas dire « administratif » ; publimailings adressés pour bon nombre d’OCAM à de simples gestionnaires de contrats.
Les informations techniques nécessaires à la gestion de crise chez les donneurs d’ordre ont été délivrées au cas par cas à la demande des OCAM, et ce, à l’initiative des DPO le plus souvent.
Il en est de même des postures des deux plateformes qui ont été radicalement différentes : l’une a continué à fonctionner quasiment normalement alors que l’autre a désactivé l’ensemble de ses services ; l’une a communiqué de manière transparente alors que l’autre n’a laissé filtrer que très peu d’information lorsque nous les interrogions solennellement ; l’une s’est montrée capable d’identifier rapidement les données téléchargées pour chaque OCAM alors que l’autre a mis beaucoup plus de temps.
Pour éviter qu’une catastrophe ne se produise à l’avenir, il serait certainement plus efficace d’imaginer la constitution éclair de comité de crise réunissant l’ensemble des RSSI et des directions des SI connectés et possiblement impactés. De ce point de vue, l’usage des réseaux sociaux cryptés ou autres canaux sécurisés pourraient apporter une importante valeur ajoutée à l’efficacité des décisions à prendre et donc sur les défenses de chacun.
Sur les OCAM – responsables des traitements
Les OCAM ont certainement mis un peu trop de temps pour décider des mesures de sécurité à déployer et à réunir un comité de crise.
Si les attaques avaient été de nature virale, il y a fort à parier qu’un très grand nombre d’OCAM aurait vu leur SI atteint.
Le format et la nature des informations caractérisant les attaques peuvent expliquer pour partie les délais de réaction de même que le jour et l’heure de leur réception (fin de journée en semaine et fin de journée veille de week-end). Mais ce sont surtout les niveaux insuffisants de sensibilité aux risques systémiques, de clarté des organisations et de précision des procédures ainsi que le manque d’expérience en matière de gestion de crise cyber, qui ont affecté les temps de réponse des OCAM.
Les politiques SSI de même que les PCA – PRA devront faire l’objet de révision de manière à mieux évaluer et sérier les risques cyber et notamment ceux qui peuvent affecter les sous-traitants.
Ces revues seront également l’occasion de clarifier les rôles de chacun dans la gestion de crise : dirigeant, DSI, RSSI, responsable de la gestion des risques, contrôleur interne, responsable communication, DPO de manière à éviter les doublons ou plus gravement les carences sur certaines actions à engager ; mais aussi d’interroger et d’instituer le principe de permanences dans le domaine de la sécurité informatique (type 24h/24 - 7J/7).
Les OCAM devront également se pencher sérieusement sur la réalité de la sécurité des SI de leurs sous-traitants. Les attendus du RGPD en la matière auraient dû les y contraindre, mais en pratique très peu d’assureurs les ont mis en œuvre avec le niveau de profondeur nécessaire.
La réglementation DORA (et plus largement NIS 2) qui fait de la sous-traitance l’un des piliers de la maîtrise des risques informatiques devrait rapidement contraindre les assureurs et les banques à s’améliorer.
Mais ici aussi, l’efficacité de la cyberdéfense commande d’être réaliste. Ce ne sont ni les contrats signés avec vos sous-traitants ni les documentations qu’ils pourront vous remettre, qui vous garantiront la sécurité effective des données que vous leur confiez.
Je repense régulièrement au directeur général de cette SSII développeur et infogéreur d’une application métier pour le compte de l’un de nos clients - assureur mutualiste - et qui nous refusait la réalisation de test d’intrusion aux motifs qu’il avait déjà fait réaliser plusieurs audits de sécurité informatique dont les conclusions étaient favorables. Nous sommes rentrés dans son SI en à peine 30 min ! … La sécurité effective de l’assureur donneur d’ordre s’en est trouvée grandement améliorée à la suite.
Sur les autorités
Les assureurs ayant peu d’informations de leurs sous-traitants ce que l’on peut aisément comprendre le temps que les enquêtes FORENSIC soient achevées, était-ce trop espéré, pour les OCAM, que les Autorités Nationales (ANSSI, CNIL, ACPR) jouent un rôle de coordinateur ou de facilitateur compte tenu de l’ampleur de la crise ? Ce fut malheureusement le cas. De sorte que les assureurs concernés se sont trouvés bien seuls pour gérer la situation partageant des informations « off » glanées ici et là à l’occasion d’échanges dans le cadre de réseaux personnels ou privés.
Compte tenu de l’ampleur des données détournées à la suite des deux attaques, la presse s’en est faite l’écho dans les différents médias (TV radio et internet) et fort logiquement la CNIL et l’ACPR se sont saisies de l’affaire mais d’un point de vue uniquement administratif.
La CNIL a communiqué officiellement et publiquement sur l’initialisation de deux enquêtes et rappelé au public les conseils à appliquer à la suite de telles attaques. Les deux enquêtes ont notamment pour objet de déterminer si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du RGPD.
L’ACPR a de son côté exigé des OCAM qu’ils lui communiquent leur situation de sous-traitance avec les plateformes concernées et pour ceux des OCAM qui ont sous-traité le tiers payant à ces plateformes les formulaires de déclaration d’incident cyber ad-hoc ; formulaires pourtant facultatifs.
On ne peut que regretter que cette charge administrative supplémentaire imposée à tous les assureurs ne se soit pas traduite par un feedback de l’Autorité de Contrôle ; feedback qui aurait sans doute permis aux OCAM d’affiner leur gestion de la crise et notamment le moment le plus opportun pour rétablir les connexions aux plateformes et les services subséquents aux assurés.
Et maintenant ?
A la suite des informations diffusées dans les médias et des courriers d’informations notifiés aux personnes concernées, les mécontentements et réclamations exprimés à l’adresse des DPO ont été nombreux. Les assurés ne comprennent pas que les assureurs à qui ils ont confié leurs données personnelles n’aient pas mis en œuvre des mesures de sécurité adéquates. Il est d’ailleurs intéressant que les assurés ne fassent aucune différence entre l’assureur responsable de traitement et les plateformes de tiers payant sous-traitantes, et ce, malgré les communications réalisées tant par les médias que par les assureurs eux-mêmes.
Le moins que l’on puisse dire, c’est que l’image des OCAM n’en sort pas grandie. En outre, les assureurs ont dû mobiliser des ressources durant plusieurs semaines pour gérer cette crise ; ressources qui auraient pu être affectées à d’autres tâches plus productives pour certaines d’entre elles. Bon nombre d’entre eux n’ont pas encore souscrit d’assurance contre le risque Cyber et pourront être tentés de chercher une source d’indemnisation.
La CNIL et la brigade de lutte contre la cybercriminalité (BL2C) collectent chaque jour des dizaines de plaintes des assurés victimes du vol de données personnelles. Le ministère de l’Intérieur a pour la première fois mis en œuvre un formulaire de plainte en ligne pour faciliter les traitements en masse.
Les services spécialisés du Parquet de Paris ont aussi été saisis par de nombreux assureurs et par les personnes concernées en tant que particuliers victimes.
Alors qu’il est peu probable qu’on puisse identifier et arrêter les hackers, ce sont les responsabilités des OCAM et des sous-traitants qui vont immanquablement être interrogées, notamment au regard de la durée de conservation des données personnelles. Les conclusions de l’enquête de la CNIL devraient sans aucun doute peser sur les recours et les procédures qui seront engagés.
Conclusion
Si on ne peut que déplorer les conséquences de ces attaques, on peut se satisfaire du fait qu’elles auraient pu être bien plus importantes si elles avaient été pénétrantes et virales dans les SI.
Finalement et sans attendre les conclusions des enquêtes en cours (CNIL et tribunal judiciaire de Paris), elles nous donnent une formidable occasion d’améliorer la défense de nos organisations contre les incidents à caractère systémique, les dispositifs de gestion de crise cyber, lesquelles qui ne manqueront sans doute pas de se multiplier dans les prochains mois et prochaines années.
Anaïs LE BOZEC, Associée et Responsable Développement chez ProbeeCyÀ voir aussi
Pourquoi faire appel à un partenaire externe pour lancer une offre innovante ? Et si vous étiez le prochain ?
L’essentiel de la rentrée en 4 questions à Gilles-Emmanuel Bernard, président du Cercle LAB
Carnet du Cercle LAB #34 – Assuré/pas assuré, assurable/pas assurable
Cercle RH : Retour sur la 4e réunion (saison 2023-2024)