Secteur de la santé, cible de prédilection de la cybermalveillance

0

Ces derniers mois, les établissements de santé ont fréquemment été la cible de cyberattaques, ils figurent d’ailleurs en tête de liste des industries qui y sont le plus exposées (aux côtés, nous l’avions vu récemment, du secteur bancaire).

Un tel attrait vers ces organisations s’explique par plusieurs raisons, mais la première d’entre elles réside dans le fait que le secteur de la santé, et de ce fait les établissements qui la composent, sont aujourd’hui presque entièrement tournés vers le numérique, de la prise de rendez-vous, aux résultats confidentiels d’examens, et même aux solutions de santé en elles-mêmes (pacemakers…). Nous le verrons d’ailleurs dans cet article, c’est, entre autres, cette transformation numérique qui explique aujourd’hui pourquoi la santé ne peut plus se conjuguer sans sécurité informatique.

Accroissant nécessairement l’exposition de ces systèmes d’informations aux dysfonctionnements et failles de sécurité, cette transition numérique est donc aujourd’hui devenue un enjeu et une préoccupation majeures pour ces organisations.

Mais quelles autres motivations et raisons poussent les pirates à s’attaquer à une cible de la sorte ?  Quelle est la finalité recherchée ? Quelles sont les solutions à la disposition de ces organisations pour se prémunir d’un maximum de cyber-risques ?

  • Cyber-attaques : quelles motivations ? quelles conséquences ?

Nous l’avons vu, le secteur de la santé fait donc aujourd’hui partie des « petits favoris » des pirates. Il est à noter que quand nous abordons le secteur de la santé dans sa globalité, nous parlons ici des hôpitaux et cliniques, mais également du conseil en ligne, avec par exemple les experts de santé à distance, des environnements cloud et des appareils médicaux connectés (pacemaker, par exemple).

Plusieurs raisons peuvent être mises en avant pour expliquer pourquoi les pirates s’attaquent aux précieux systèmes d’information des organisations de la santé :

  • La première raison, et nous l’avons évoqué dès le début de cet article, est la quasi-dépendance au numérique pour ces organisations, due à leur récente transition numérique : aujourd’hui des rendez-vous aux données stockées, tout est devenu e-santé. C’est donc une aubaine pour les pirates, qui auront donc un grand pouvoir d’influence s’ils arrivent à paralyser leurs réseaux informatiques.
    Ransomwares, failles de données, DDOS, les ravages causés par ces actes de cyber malveillance sont considérables : au-delà d’impacter la gestion « économique » de ces structures médicales, c’est toute l’organisation des soins qui peut alors être bouleversée et les données personnelles, et même la vie des patients, qui peuvent être mises en danger.
  • Seconde raison, ces organismes ont souvent un tas de renseignements personnels qui pourraient être utilisés pour la fraude, à motivation financière – des informations comme votre nom, votre numéro de sécurité sociale et vos informations de paiement. Ces données comportent également aussi des informations sur l’Assurance Maladie, qui peuvent être vendues sur les marchés noirs et être utilisées pour commettre des fraudes médicales – comme l’obtention de soins médicaux gratuits ou l’achat de matériel médical coûteux, tout aussi rapidement que la fraude par carte de crédit ou compte bancaire.
  • Troisième raison, bien qu’elle ne soit pas applicable qu’au domaine de santé, c’est la taille importante de la plupart de ces organisations qui les rend de plus en plus vulnérables. En effet, plus grand signifie aussi que plus de personnes sont impliquées dans le système, cela signifie aussi plus de points d’exploitation potentielle. Il suffit alors de piéger un seul élément de ce système géant (par phishing ou autre ruse) pour alors compromettre tout le réseau.
  • En parlant de réseau, la quatrième raison est que beaucoup d’hôpitaux ou cliniques fonctionnent avec des réseaux sans fil partagés. Avec autant de périphériques différents sur un réseau, il suffit d’un point de vulnérabilité pour qu’un pirate accède à tout – et à tout le monde – en utilisant ce réseau. C’est une faiblesse majeure si elle n’est pas sécurisée correctement. Aussi, l’utilisation d’équipements personnels dans la sphère professionnelle (phénomène aussi appelé avec l’acronyme BYOD, de Bring Your Own Device) est un véritable fléau dans le secteur de la santé, fragilisant encore plus sa sécurité informatique.
  • Enfin, une partie de la raison de cette cyber-menace et de ce cyber-attrait contre le secteur de la santé est que certains de ces organismes sont classés OIV (Opérateurs d’importance Vitale). Cela en fait donc une cible attrayante pour les pirates qui veulent provoquer le chaos, en particulier d’un pays étranger dit « ennemi ». Attaquer une organisation de soins de santé faisant partie d’un réseau plus large d’infrastructures pourrait également fournir un moyen d’accéder à d’autres installations critiques.

Quelles qu’en soient les raisons, ces attaques marchent de mieux en mieux de par le fait que les hackers particulièrement cruels savent que des vies sont en jeu quand ils tiennent les systèmes informatiques d’un hôpital en otage, mais aussi parce que de nombreuses rançons leurs sont versés de par cette urgence.

Quelles sont les solutions possibles mises à la disposition de ces organisations pour se prémunir de ce type de menaces ?

Nous l’avons vu, les tentatives d’attaques contre le secteur de la santé sont inévitables, de par ses différents « atouts » aux yeux des hackers. Des rapports récents indiquent que la réponse de la part de ces organismes en matière de cyber sécurité fait aujourd’hui défaut, mais qu’une vraie amélioration et prise de conscience est aujourd’hui en route.

Parmi les recommandations techniques et/ou opérationnelles les plus directes figurent :

  • L’éducation et sensibilisation des équipes : en effet, et nous le répétons souvent, votre équipe est le premier garant d’une bonne sécurité informatique. Comprendre les menaces, les différentes attaques potentielles mais aussi appréhender leurs conséquences sont une des clés pour une stratégie de sécurité efficace.
  • Des bonnes pratiques de sécurité appliquées : si la sensibilisation des équipes est primordiale, celle-ci n’est efficace que quand elle est utilisée conjointement avec de bonnes pratiques de sécurité (et, nous y reviendrons, bien évidemment avec de bonnes solutions de sécurité). Par exemple, effectuer des audits de sécurité pour évaluer la sécurité informatique d’un réseau, mettre à jour les solutions de sécurité existantes ou effectuer des backups le plus souvent possible, pour tenter de minimiser les effets d’une « prise d’otage » de données. Aussi, et ce malgré l’urgence, ces backups permettraient d’appliquer un principe de “non-paiement” des rançons aux pirates informatiques (qui est primordial). Se pose aussi la question de la mise en conformité avec le nouveau Règlement général de protection des données (RGPD 25 mai 2018 les entreprises et établissements de santé responsables des données personnelles qu’ils détiennent. Le texte prévoit entre autres la certification de la protection des données personnelles par un organisme agréé, ce qui conduira sans doute un grand nombre d’entre eux à ne plus héberger en interne leurs données personnelles et à externaliser cette fonction.
  • Le maintien d’une bonne protection en sécurité informatique, grâce à des solutions adaptées : les établissements de santé se doivent, de par la menace omniprésente qui plane sur leurs réseaux, de mettre en place un plan complet de réponse en matière de sécurité informatique. Ce plan de réponse orchestrerait les moyens humains et les moyens technique afin de répondre le plus efficacement possible à une attaque s’il est trop tard, ou tout simplement de prévenir d’attaques avant qu’elles ne se produisent. D’ailleurs, au-delà des solutions de sécurité informatique (type scanner) existant sur le marché, cette prévention peut être amenée par l’usage de l’intelligence artificielle dans de nouvelles solutions de sécurité choisies par ces établissements. En effet, des solutions de sécurité existent aujourd’hui, comme Reveelium, développée par ITrust, permettant aux équipes de sécurité d’anticiper la menace et d’améliorer globalement leur résilience à la cyber sécurité.

Enfin, il est à noter qu’un signalement rapide des tentatives attaques aux autorités concernant le moindre problème de cybersécurité est obligatoire, et ce depuis le 1er octobre 2017, pour ces établissements. Ils devront ainsi déclarer les incidents de sécurité auxquels ils sont confrontés via un « portail de signalement des évènements sanitaires indésirables » accessible ici : https://www.signalement.social-sante.gouv.fr.

L’attaque WannaCry qui avait mis hors service les services de santé britanniques l’année dernière a pu prouver, conjointement avec les différentes motivations possibles de mener une cyber-attaque contre un établissement de santé, que nous avons évoqué lors de cet article, que la menace cyber est réelle.

En bref, les équipes de sécurité informatique dans les hôpitaux et établissements de santé ont aujourd’hui du pain sur la planche. Non seulement doivent-ils s’inquiéter du défi traditionnel de la cyber sécurité que d’autres entreprises connaissent au quotidien, mais doivent également faire face au défi du nombre croissant de cyberattaques aux procédés toujours plus originaux, touchant à diverses échelles leurs organisations (mais ayant tout de mêmes une cible privilégiée ces derniers temps : les données des patients !)

Share.

About Author

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Leave A Reply