Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Quand la justice américaine définit la Politique de Sécurité des SI d’un assureur santé

12 oct. 2020 - 13:13,
Tribune - Charles Blanc-Rolin
SécuritéE-santé
Si le nom de l’assureur santé Anthem ne vous dit rien, vous vous souvenez peut-être de cette énorme fuite de données de santé qui concernait près de 79 millions d’assurés. Rappelez-vous, en 2017, Anthem avait été condamné à verser 115 millions de dollars de dommages et intérêts aux victimes ayant participé au recours collectifs à l’encontre de l’assureur. L’an passé, le Ministère de la justice américain publiait un acte d’accusation à l’encontre de deux ressortissant Chinois accusés d’avoir participé à l’intrusion dans le SI d’Anthem et l’exfiltration des données des assurés entre 2014 et 2015 [1].

Le 30 septembre dernier, toujours dans le cadre de cette affaire, le procureur général de New-York annonçait que l’assureur était condamné à verser 39,5 millions de dollars d’amende répartis sur l’ensemble des 41 États dont les victimes faisaient partie [2].

On peut dire que la note est salée, Anthem aura donc dû débourser 154,5 millions de dollars au total (hors frais de protection bancaire pour les victimes) pour ne pas avoir suffisamment protégé les données de santé de ses assurés.

Mais ce n’est pas tout, puisque l’assureur a été contraint de signer un accord lui imposant la mise en place d’une « PSSI » dans laquelle il s’engage à :

- mettre en place :

  • une architecture « zéro trust » (oui même la justice s’y met ;p)
  • une segmentation de ses réseaux
  • de la journalisation et de la surveillance des logs (on peut donc supposer, investir dans un SIEM si ce n’est déjà fait et mettre en place un SOC ou faire appel à un SOC externe)
  • du chiffrement
  • du contrôle d’accès
  • de l’authentification deux facteurs
  • maintenir ses systèmes et antivirus à jour
  • réaliser des analyses de risques
  • fournir des rapports de sécurité réguliers au conseil d’administration
  • notifier le PDG en cas d’incident de sécurité important
  • sensibiliser les employés à la sécurité numérique
  • réaliser des tests d’intrusion

Cette décision de justice est une grande première qui pourrait bien faire évoluer la vision de certains, consistant à provisionner le montant de ce que pourrait leur coûter une fuite de données en se disant que cela reviendrait toujours moins cher que de mettre en place de la sécurité au sein de leurs SI. Dans cette affaire, l’accusé se trouve condamné à une « triple peine », payer des dommages et intérêts aux victimes, payer une amende, et payer pour enfin sécuriser son SI. Un suivi et des contrôles de la mise en application de ce qui est imposé à Anthem sera fait sur trois ans, difficile donc, de se dérober…

Quand-est ce que l’on fait la même chose en France ?

[1] /article/3368/anthem-medical-data-breach-retour-sur-l-une-des-plus-grosse-fuite-de-donnees-de-sante.html

[2] https://ag.ny.gov/press-release/2020/attorney-general-james-helps-secure-395-million-after-anthems-2014-data-breach

Avez-vous apprécié ce contenu ?

A lire également.

Illustration À l’ère de l’IA conversationnelle, l’intégration de Dragon Medical One à Philips SpeechLive reconnecte médecins et secrétaires

À l’ère de l’IA conversationnelle, l’intégration de Dragon Medical One à Philips SpeechLive reconnecte médecins et secrétaires

08 mai 2025 - 14:46,

Communiqué

-
Philippe VEMCLEFS

Utilisée par plus de 10 000 structures de santé à travers le monde dont 550 000 médecins (1), Dragon Medical One (DMO) est la solution de reconnaissance vocale médicale la plus reconnue, tant chez les médecins spécialistes que chez les radiologues. Devenue une référence incontournable dans le secteu...

Illustration Le DPI complet GALEON à SantExpo 2025

Le DPI complet GALEON à SantExpo 2025

06 mai 2025 - 00:21,

Communiqué

- GALEON

Plus que quelques semaines avant l’un des plus importants rassemblements annuels du secteur de la santé en France. SantExpo, organisé par la FHF, attend 30 000 participants Porte de Versailles à Paris, du 20 au 22 mai. Cette édition 2025 pourra compter sur la présence du DPI Galeon, qui figurera par...

Illustration [SANTEXPO 2025] Inscrivez-vous à la conférence inédite de Nicolas BOUZOU à Santexpo !

[SANTEXPO 2025] Inscrivez-vous à la conférence inédite de Nicolas BOUZOU à Santexpo !

05 mai 2025 - 19:12,

Communiqué

- Axigate Link

"Économie de la santé & transformation numérique : les enjeux et les leviers pour améliorer la qualité du système de santé" Le mercredi 21 mai à 15h00, la Division Axigate Link du Groupe EQUASENS, aura l'honneur d'accueillir Nicolas BOUZOU, économiste et essayiste reconnu, pour une conférence exclus...

Illustration [SANTEXPO 2025] Rendez-vous sur notre stand K48 pour découvrir nos innovations et des conférences inédites !

[SANTEXPO 2025] Rendez-vous sur notre stand K48 pour découvrir nos innovations et des conférences inédites !

05 mai 2025 - 18:50,

Communiqué

- Axigate Link

À l’occasion de SantExpo, du 20 au 22 mai 2025, retrouvez les équipes de la Division Axigate Link du Groupe EQUASENS à SANTEXPO sur le Stand K48 pour échanger autour de vos enjeux métier, découvrir les innovations logicielles, et assister à une série de conférences exclusives animées avec nos client...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.

A propos

Nous suivre

Contact

Abonnement

DSIH Magazine

Nos marques

Logo DSIHLogo Thema Radiologie