Les régulateurs de l’État ont été informés que plus de 10 millions de patients ont été touchés par une violation de données chez Conduent plus tôt cette année. La société a déposé un 8-K auprès de la Securities and Exchange Commission (SEC), révélant que l’incident a commencé fin 2024 et a persisté jusqu’en janvier 2025.
Conduent a révélé qu’un acteur non autorisé a accédé à son environnement numérique entre le 21 octobre 2024 et le 13 janvier 2025 et a obtenu des fichiers contenant des données personnelles de patients. Bien que la société n’ait pas divulgué de détails spécifiques sur les données compromises, les fichiers peuvent inclure des noms, des dates de naissance, des numéros de sécurité sociale et des informations sur le traitement. Le nombre total et non vérifié de personnes touchées n’a pas été initialement fourni par l’entreprise, mais la notification de l’État suggère que l’échelle dépasse maintenant 10 millions.
Parmi les États notifiés figurent le Texas et l’Oregon. Les régulateurs du Texas ont été informés que plus de 4 millions de personnes avaient été touchées dans cette juridiction, tandis que plus d’un million de personnes dans l’Oregon étaient incluses dans le décompte. La société est au service de nombreuses organisations de soins de santé, y compris de grands assureurs et des agences gouvernementales, et plusieurs de ces clients ont envoyé des notifications de violation à leurs membres.
Conduent affirme que la violation a affecté une partie limitée de son réseau et que ses opérations quotidiennes n’ont pas été affectées. La société a engagé des sociétés de cybersécurité pour effectuer des examens externes et internes de ses systèmes et a déclaré qu’elle avait commencé à améliorer sa posture de sécurité réseau. Conduent a également révélé que ses coûts d’intervention directe s’élevaient à environ 25 millions de dollars. Ce chiffre a été partiellement atténué par une prestation de 9 millions de dollars recouvrée par l’intermédiaire d’une compagnie d’assurance des frais juridiques.
L’incident souligne les risques liés aux prestataires de services aux entreprises dans le secteur de la santé. Conduent propose une large gamme de services de back-office tels que l’impression, le courrier, le traitement de documents et les services d’intégrité des paiements aux agences gouvernementales et aux organisations de soins de santé. Parce qu’il traite des informations personnelles et médicales sensibles pour le compte d’autres organisations, toute violation de ses systèmes peut avoir des effets en cascade.
Pour les personnes touchées, les implications sont graves. Avec l’exposition attendue d’identifiants hautement sensibles tels que les numéros de sécurité sociale ou les dossiers de traitement, le risque d’usurpation d’identité, de fraude à l’identité médicale ou d’hameçonnage ciblant les patients augmente. Les personnes dont les données ont pu être affectées devraient envisager de surveiller les activités inhabituelles, d’examiner leurs déclarations et de rechercher des communications faisant référence à des réclamations qu’elles n’ont pas initiées.
Bien que Conduent n’ait pas confirmé publiquement si les données compromises ont été vendues ou publiées en ligne, la notification aux régulateurs et l’ampleur de l’impact suggèrent que les parties concernées comprennent une grande partie de la clientèle du fournisseur. Plusieurs grands assureurs ont publiquement reconnu leur implication dans l’incident ou les notifications des membres concernés, soulevant des questions sur la façon dont les fournisseurs de services ont cartographié leurs dépendances avec les fournisseurs et sur la question de savoir si une violation du fournisseur pourrait offrir aux attaquants l’accès à plusieurs organisations en aval.
D’un point de vue réglementaire, la violation fera probablement l’objet d’un examen minutieux. Les procureurs généraux des États et les régulateurs fédéraux surveillent de près les violations de cette ampleur, en particulier celles impliquant des données de droit de la santé ou des services commerciaux. Les entités des secteurs de la santé et des services gouvernementaux doivent s’assurer qu’elles maintiennent une surveillance rigoureuse des fournisseurs tiers, qu’elles effectuent des audits des contrôles d’accès, qu’elles chiffrent les données sensibles au repos et en transit et qu’elles effectuent des exercices de réponse aux incidents en temps opportun.
Pour les fournisseurs de services comme Conduent, cet événement peut entraîner des changements importants. L’entreprise s’est engagée à travailler avec les équipes d’expertise judiciaire, à informer les personnes touchées et à renforcer la sécurité de son réseau. Les pratiques de gestion des fournisseurs peuvent faire l’objet d’une révision, avec des exigences plus rigoureuses en matière de correctifs, de détection des intrusions, de segmentation des systèmes et de restriction de l’accès inutile aux données. Les organisations qui s’appuient sur des fournisseurs pour les opérations de back-office doivent désormais accorder une plus grande attention à la manière dont leurs données sont traitées en dehors des systèmes primaires.
En fin de compte, cette violation est un rappel de la complexité et de l’interconnectivité des systèmes de données modernes. Un fournisseur qui prend en charge les soins de santé et les opérations gouvernementales peut sembler périphérique, mais les violations au sein de ces entreprises peuvent avoir des implications vastes et graves. Les entités doivent aller au-delà de l’hypothèse selon laquelle leur propre périmètre est sécurisé et étendre la cyber-résilience à tous les niveaux de leur écosystème de partenaires.
Bien que les derniers détails restent en suspens et que le nombre total de personnes touchées soit encore plus élevé, le chiffre de plus de 10 millions confirme que la violation est l’un des plus importants incidents de fournisseurs de soins de santé de l’année. Les patients, les fournisseurs de services et les organismes de réglementation touchés seront tous confrontés à la question de savoir comment gérer les risques, communiquer clairement et prévenir des événements similaires à l’avenir.