Medibank fait face à la nouvelle année compte sur les attaques de piratage

“Lorsque le commissaire estime qu’il existe un intérêt public suffisant pour un incident, le commissaire peut publier un rapport d’enquête”, a déclaré l’OAIC.

Le cabinet d’avocats Maurice Blackburn a déposé une plainte représentative auprès de l’OAIC le matin même où la commission a annoncé son enquête. L’entreprise allègue que Medibank a manqué à ses devoirs en ne prenant pas de mesures pour protéger les renseignements personnels de ses clients, et toute conclusion défavorable de l’OAIC augmentera les perspectives d’indemnisation.

“Nous pensons que nos processus étaient robustes, bien qu’ils ne soient manifestement pas assez robustes dans ces circonstances.”

Mike Wilkins, président de Medibank Private

Bloomberg Intelligence estime qu’une demande d’indemnisation pourrait facilement atteindre 700 millions de dollars.

Les criminels ont accédé aux détails de base des comptes de 9,7 millions de clients actuels et anciens de Medibank ainsi qu’aux données sur les réclamations de santé d’environ 160 000 clients de Medibank, 300 000 clients de sa branche budgétaire ahm et 20 000 clients internationaux.

Greg Austin, un expert en cybersécurité du groupe de réflexion géopolitique de l’Institut international d’études stratégiques (IISS), a déclaré que la culpabilité devrait être un problème pour Medibank – comme son président Mike Wilkins l’a admis par inadvertance lors de son assemblée générale annuelle en novembre.

“Nous pensons que nos processus étaient robustes, bien qu’ils ne soient clairement pas assez robustes dans ces circonstances”, a déclaré Wilkins aux investisseurs.

Austin, pour sa part, a été surpris que l’accès compromis aux informations d’identification professionnelles d’une seule personne chez Medibank ait conduit à l’accès à l’intégralité de sa base de données, y compris les détails des employés.

« Personne dans une banque ne peut accéder à toutes les données client de la banque via ses identifiants d’accès. Tout est compartimenté », a-t-il déclaré.

“Ce qui semble avoir été le cas à Medibank, c’est qu’ils ont tout obtenu parce qu’il y avait quelqu’un dans l’organisation qui avait l’autorité administrative pour tout obtenir.”

Impact financier

L’impact financier semble se refléter dans le cours de l’action de l’assureur maladie privé – la valorisation boursière de Medibank ayant perdu près de 2 milliards de dollars depuis que l’incident est devenu public. Et les investisseurs ne doivent pas non plus s’attendre à une reprise rapide.

Glenn Withers, professeur d’économie à l’ANU, a contribué à l’élaboration d’une étude sur l’impact boursier des cyberincidents sur l’indice de référence du marché boursier S&P500, qui comprend certaines des plus grandes sociétés américaines.

“Ce que nous avons découvert, c’est que (les cyberincidents) ont un effet très grave”, a-t-il déclaré. Et la négativité ne se dissipe pas une fois qu’une remédiation est triée.

“La plupart d’entre eux se situent dans une fourchette d’environ 5 à 15% de perte de valorisation boursière au cours des deux premières années suivant un événement majeur de cybersécurité”, a-t-il déclaré.

Chargement

Mais il a averti que les cyber-violations graves peuvent nécessiter beaucoup de bouleversements dans l’entreprise avant que la victime ne puisse récupérer.

“Ce que nous pouvons également dire, c’est que là où l’effet (cyber) est important, bien souvent, la façon dont une entreprise se redresse se fait par rachat et renouvellement de la direction. Vous devez reconstruire une entreprise qui est la plus durement touchée pour vous remettre sur les rails.

Il pense que cela s’applique au cas de Medibank.

“J’aurais pensé qu’un renouvellement très substantiel allait être nécessaire dans ce cas”, a-t-il déclaré. “Ce ne sera pas du tout un remède à court terme.”

La newsletter Business Briefing propose des articles majeurs, une couverture exclusive et des avis d’experts. Inscrivez-vous pour l’obtenir tous les matins de la semaine.