Santé : un besoin critique de continuité d’activité pour la nouvelle cible des cyberattaquants

0

Touché par une cyberattaque massive, l’hôpital de Dax et le centre hospitalier de Villefranche-sur-Saône doivent poursuivre coûte que coûte les soins. Ces événements montrent que le secteur de la santé n’est pas à l’abri des cybercriminels, qui profitent de toutes les vulnérabilités possibles pour s’infiltrer au sein de réseaux en quête de données confidentielles ou pour perturber les activités. Entreprises comme institutions doivent donc être équipées pour garantir la sécurité de leur système d’information et les données de leurs patients. 

Les hôpitaux, nouvelle cible des cyberattaquants

Mardi 9 février 2021, le centre hospitalier de Dax est devenu la victime d’un rançongiciel, un logiciel malveillant qui a paralysé son système informatique local. Impossible pour le personnel d’accéder aux ordinateurs, aux téléphones ou à tout autre matériel informatique. Des écrans noirs côtoyaient des appareils affichant clairement le message : “l’hôpital fait l’objet d’une cyberattaque au rançongiciel, qui a paralysé le système informatique des lieux”. 

Les fraudeurs n’ont pas tardé à réclamer une rançon pour en libérer l’accès et les données, alors que l’enjeu est énorme pour l’hôpital : ne pas mettre en péril la prise en charge des patients, et sauver, coûte que coûte, l’activité en tenant avec les moyens du bord. 

Il ne s’agit malheureusement pas d’un cas isolé : le centre hospitalier de Villefranche-sur-Saône a à son tour été victime d’une attaque détectée à 4h30 lundi 15 février, via un logiciel malveillant qui impacte fortement ses services. Toujours un rançongiciel : le crypto-virus RYUK, qui bloque lui aussi les données du système informatique, qui ne sont plus accessibles qu’après le paiement d’une rançon. Pour limiter la propagation du virus, les accès au SI et à internet ont dû être coupés, les postes de travail déconnectés et l’ensemble de la téléphonie déconnectée, à l’exception du standard des urgences. Les investigations techniques sont menées par l’Agence nationale de sécurité des systèmes d’information (Anssi), qui rappelle que les hôpitaux et autres entités du secteur de santé représentent une cible privilégiée des attaquants par rançongiciel. La tendance explose depuis 2020 avec la pandémie, puisque le besoin critique de continuité d’activité incite plus facilement les hôpitaux à payer. 

La nécessité de budgets de sécurité plus élevés

Une étude menée en août 2020 auprès de plus de 900 décideurs informatiques dans le monde dont 100 en France dévoile que le budget sécurité des entreprises a été revu à la hausse en raison de la pandémie. Malgré cela, les répondants du secteur de la santé concèdent que les technologies sont rarement pleinement utilisées. Ainsi, 30 % des répondants pensent utiliser 21 à 40 % des technologies de sécurité dans lesquelles ils ont investi, 25 % en utilisent 61 à 80 % et seuls 13 % en utilisent 81 à 100 %. Par ailleurs, 59 % veulent aller vers le cloud, 59 % également souhaitent consolider les solutions existantes, et 58 % envisagent d’ajouter à l’existant davantage de solutions de sécurité.

Avec des ressources limitées, les hôpitaux doivent aller à l’essentiel pour protéger leurs systèmes.

Il existe un type de solution permettant de protéger efficacement les accès et éviter qu’un acteur malveillant ne s’octroie des droits d’administrateurs comme c’est souvent le cas lors des attaques par rançongiciel : les solutions PAM.

Une solution : sécuriser, gérer et surveiller l’accès des comptes privilèges des centres hospitaliers et des acteurs de la santé

L’environnement de la santé est une cible de choix pour les attaquants avides de dérober la multitude de données présentes dans les systèmes, à la fois confidentielles et d’une grande qualité, dans un environnement où on assiste à une collision entre anciennes et vieilles technologies, et à un déploiement d’infrastructures complexes et connectées (scanners, IRM, etc.). Avec le paradoxe souligné précédemment : les budgets IT sont encore insuffisants face à la menace. D’autant que les besoins de connexion à distance sont importants pour les opérations de mise à jour par la maintenance, élargissant ainsi dramatiquement la surface d’attaque. 

Grâce à la mise en œuvre d’une solution de PAM, il n’est plus nécessaire de de stocker localement les mots de passe : l’ensemble des justificatifs d’identité sont stockés au sein d’un coffre-fort sécurisé dans le cloud ou sur site, protégé par un chiffrement de haut niveau et un contrôle d’accès rigoureux. Les administrateurs n’ont plus besoin de visualiser les informations d’identification, injectées automatiquement par la solution PAM dans la session vers les serveurs cibles. La chambre forte peut également être connectée à des outils de gestion d’identité ou à Active Directory pour offrir des contrôles d’accès basés sur les rôles et garantir différents niveaux de fonctionnalité à différents niveaux d’utilisateurs. 

La gestion des permissions locales aux machines est également essentielle pour empêcher les applications non validées ou « trustées » de s’exécuter avec des permissions élevées sur la machine. Ces fonctionnalités sont apportées par de solutions de type EPM, pour Endpoint Privilege Management, qui permettent d’implémenter le principe de Moindre Privilege sur l’ensemble des postes de travail, réduisant grandement la surface d’attaques pour le rançongiciels. 

Fort de cette garantie d’un service de sécurité robuste, les centres hospitaliers pourront dès lors jouer sur d’autres leviers pour se différencier, en fournissant des fonctions annexes : rotation des mots de passe, découverte de comptes, reporting d’usage, monitoring de sessions, contrôle applicatif, … 

La collaboration sera essentielle : les établissements de santé ont donc tout à gagner à s’associer à des fournisseurs d’outils de sécurité spécialisés qui garantiront la protection de leur système d’information et ainsi la pérennité d’une activité sur laquelle repose la vie des patients.

About Author

Mortada Ayad

Technical Regional Manager / Emerging Markets de Thycotic

Leave A Reply