L’impact de la récente cyberattaque contre Change Healthcare est sans précédent, tout comme le coût des dommages. Rick Pollack, président et directeur général de l’American Hospital Association a déclaré : « La cyberattaque contre Change Healthcare est l’incident le plus important et le plus lourd de conséquences de ce type jamais perpétré contre le système de santé américain. »
Lors d’un récent appel de résultats, UnitedHealth Group, la société mère de Change Healthcare, a émis des hypothèses sur le coût global de la violation de données. Le montant total pourrait atteindre 1 milliard de dollars ou plus.
Fin février, le groupe de ransomware ALPHV/BlackCat a revendiqué la responsabilité du piratage de Change Healthcare. Les intrus ont perturbé les opérations et exfiltré jusqu’à 4 To de données, y compris des informations personnelles, des détails de paiement, des dossiers d’assurance et d’autres informations sensibles. Cela a conduit à un paiement non vérifié de 22 millions de dollars américains au titre du versement de la rançon.
Change Healthcare joue un rôle central dans 15 milliards de transactions et 1 500 milliards de dollars de demandes de remboursement de soins de santé par an. Après l’attaque, l’entreprise a dû interrompre des opérations clés, et la remise en service complète des systèmes a été difficile.
La cyberattaque de Change Healthcare met en danger la survie de nombreux cabinets de santé en raison de retards dans les soins aux patients et les remboursements. L’incident a eu des répercussions massives sur l’ensemble des secteurs des soins de santé aux États-Unis.
« Les impacts cyber du trimestre s’élevaient à environ 870 millions de dollars », a déclaré John Rex, président et directeur financier de UnitedHealth Group, lors de la récente conférence téléphonique sur les résultats.
Sur les 870 millions de dollars, environ 595 correspondaient à des coûts directs liés à la restauration de la plateforme de compensation et à d’autres mesures d’intervention, y compris les frais médicaux directement liés à la suspension temporaire de certaines activités de gestion des soins. Pour l’ensemble de l’année, nous estimons ces coûts directs entre 1 et 1,15 milliard de dollars américains », poursuit M. Rex.
Une partie des coûts de l’incident Change Healthcare inclut un versement de plus de 2 milliards de dollars pour aider les professionnels de santé qui ont été affectés par la cyberattaque. Cependant, cela peut ne pas suffire à aider certains cabinets qui ont été ébranlées par l’impact.
Une enquête menée par l’American Medical Association (AMA) a montré l’ampleur des dégâts. En pourcentage des cabinets affectés interrogés :
Dans l’enquête, certains praticiens ont partagé leur douleur avec des mots, dans des commentaires, par exemple : « Cette cyberattaque me mène à la faillite, et je suis presque à court d’argent. » D’autres personnes interrogées ont déclaré : « Cela a paralysé notre tout nouveau cabinet. Je continue d’utiliser mes fonds personnels ». Un autre praticien situé dans une zone rurale a déclaré que cet incident pourrait ruiner son « cabinet ouvert voilà 50 ans ».
Bien que cela ne soit pas spécifiquement mentionné dans l’annonce des résultats de UnitedHealth Group, les frais juridiques associés au piratage seront élevés. Pour atténuer le choc, Change Healthcare souhaite regrouper 24 recours collectifs, selon un récente plainte déposée auprès du tribunal.
La filiale de UnitedHealth Group a demandé à un panel judiciaire de fusionner les procès et de les centraliser devant le tribunal fédéral des États-Unis pour le district central du Tennessee, où se trouve le siège de Change Healthcare. L’entreprise fait valoir que les affaires ont des fondements factuels et juridiques communs et que leur regroupement permettrait d’économiser les ressources judiciaires.
Comme si le premier piratage n’était pas assez grave, de nouvelles informations ont fait surface selon lesquelles Change Healthcare est à nouveau victime d’extorsion par un autre groupe appelé RansomHub. Les extorsions en plusieurs phases attaques par ransomware comme celle-ci sont monnaie courante, les intrus tentant de doubler leurs exigences.
Dans ce cas, la seconde extorsion semble être un affilié d’ALPHV qui a probablement participé à un système de type ransomware-as-a-Service où plusieurs acteurs participent à l’attaque. Les captures d’écran divulguées semblent montrer des données et des fichiers de Change Healthcare, y compris des données de patients. Le groupe déclare qu’il vendra les données volées au plus offrant si Change Healthcare refuse de négocier le paiement.
Il n’est pas clair si cette seconde tentative d’extorsion a été incluse dans l’analyse des coûts. Quoi qu’il en soit, l’attaque de Change Healthcare restera dans l’histoire comme l’une des violations de données les plus coûteuses. Comme l’ont écrit des membres du Congrès, « la violation de Change revenait à cibler le système de soins de santé dans son intégralité. »