Le 21 février 2024, Change Healthcare, filiale de UnitedHealth Group traitant environ 15 milliards de transactions de santé par an aux États-Unis, a subi l’une des cyberattaques les plus dévastatrices de l’histoire du secteur médical américain, menée par le groupe ALPHV/BlackCat.

Comment l’attaque s’est produite

L’accès initial a eu lieu le 12 février 2024 via un portail Citrix d’accès distant dont le compte était protégé sans authentification multi-facteurs (MFA). Les attaquants ont utilisé des identifiants compromis pour pénétrer le réseau. Ils ont ensuite passé 9 jours à se déplacer latéralement dans le réseau, exfiltrant les données avant de déployer le ransomware le 21 février. Le CEO de UnitedHealth Group, Andrew Witty, a confirmé lors d’une audition devant le Congrès américain que l’absence de MFA sur ce portail était la cause directe de la compromission. Change Healthcare traitait à l’époque environ 40% de l’ensemble des demandes de remboursement de santé aux États-Unis.

Conséquences massives pour le système de santé américain

L’attaque a provoqué des perturbations pour l’ensemble des hôpitaux américains. Une enquête de l’American Hospital Association (AHA) menée en mars 2024 auprès de près de 1 000 hôpitaux a révélé que 74% d’entre eux ont signalé un impact direct sur les soins aux patients, incluant des retards dans les autorisations médicales. Les pharmacies ne pouvaient plus traiter les ordonnances via les assurances. Un ransom de 22 millions de dollars (350 bitcoins) a été versé par UnitedHealth à ALPHV/BlackCat. Le groupe a réalisé un « exit scam » sans rembourser son affilié, qui a ensuite rejoint RansomHub et exigé un second paiement. Au total, plus de 100 millions de personnes ont été notifiées d’une violation de leurs données de santé.

Une vulnérabilité élémentaire aux conséquences catastrophiques

Cet incident illustre un paradoxe troublant : une faille de sécurité basique — l’absence de MFA sur un portail d’accès critique — a suffi à paralyser une infrastructure traitant des centaines de milliards de dollars de transactions médicales annuelles et à exposer les données de santé de plus de 100 millions d’Américains.

Recommandations clés

  • Imposer le MFA sans exception sur TOUS les accès distants et portails d’administration
  • Auditer et supprimer tous les comptes de service sans MFA dans l’ensemble du parc informatique
  • Mettre en place des architectures Zero Trust pour les accès aux données médicales
  • Effectuer des tests d’intrusion réguliers simulant des accès via des identifiants compromis
  • Maintenir des plans de continuité d’activité testés, permettant de traiter les ordonnances
  • Évaluer la dépendance aux plateformes centralisées et prévoir des solutions de secours

Articles Similaires