Calli Dretke, vice-président exécutif et chef du numérique et du marketing à CHIME, pose une question de Lisa Gallagher, conseillère nationale de cybersécurité à CHIME, le lundi 17 février 2025, lors de la conférence Vive à Nashville, Tenn.
UnitedHealth Group a acquis Change Healthcare en 2022 et l'a fusionné avec sa filiale Optum. Lors d'une audience au Sénat américain l'année dernière, le PDG de UnitedHealth, Andrew Witty, a déclaré que les acteurs de la menace étaient entrés dans un serveur qui manquait d'authentification multifactorielle.
Même les systèmes de santé qui n'utilisent pas de santé changent et pensaient qu'ils n'avaient pas été touchés ont appris qu'ils avaient été touchés.
Par exemple, James Case, vice-président et CISO chez Baptist Health à Jacksonville, en Floride, a déclaré que bien que le système de santé utilise une entreprise différente pour la gestion du cycle des revenus, il a appris que certains contrats passaient par le changement de santé.
« Nous n'avons pas beaucoup affecté autant, mais nous avons été affectés dans les poches, et nous ne savions pas cela », a déclaré Case. Des contrats plus anciens qui n'avaient pas été mis à jour au nom du changement de santé ont également été découverts. «Cela a eu un impact beaucoup plus large pour nous et toute l'industrie que prévu.»
Quant à ce que les organisations de soins de santé devraient faire au lendemain d'une cyberattaque qui secoue l'industrie, Taule a souligné l'importance d'avoir une redondance intégrée et des attentes de sécurité plus strictes pour les vendeurs.
« Il s'agit d'un problème d'écosystème, et si nous ne résolvons pas cela comme un problème d'écosystème, nous allons être dans la même situation », a-t-il déclaré. «Le grand point à retenir est que nous tous, en tant que clients ou en tant que membres entrant dans un écosystème, nous devons être plus exigeants envers nos fournisseurs et les uns des autres.»
Les organisations de soins de santé devraient savoir qui sont leurs 10 à 15 meilleurs fournisseurs critiques et ont un plan de sauvegarde pour assurer la continuité des entreprises et opérationnelles, a ajouté le cas.
« Il y a beaucoup de choses qui se sont produites pour lesquelles nous aurions pu être mieux préparés, et je veux dire qu'en tant qu'industrie », a ajouté Taule. «Avez-vous les gens? Avez-vous les livres de jeu? Avez-vous des moyens alternatifs pour accomplir ces fonctions? Savez-vous qui sont vos partenaires critiques? Nous aurions tous dû identifier le changement comme l'un de nos fournisseurs les plus critiques. »
Il a ajouté que son organisation a commencé à normaliser les clauses de sécurité et à reconsidérer les types de fournisseurs qu'elle utilisera pour son entreprise.
« Cela va se produire », a déclaré Taule. «Ce n'est peut-être pas ce scénario exact, mais quelque chose à cette échelle qui affecte notre industrie est très probable.»