Parmi les enseignements de cette pandémie, on peut citer le rôle essentiel des établissements de santé qui constituent des remparts essentiels à nos vies. On attend des hôpitaux, et des équipements et services médicaux qu’ils soient disponibles à tout moment. Et c’est précisément pour cette raison que les cybercriminels les ont pris pour cible, parce qu’ils cristallisent de vastes enjeux. Ce n’est plus un secret, les ransomwares pour le secteur de la santé constituent un fléau majeur qui ne cesse d’évoluer et de prendre de l’ampleur.
En effet, les criminels innovent généralement plus vite que les organisations, en échappant facilement aux contrôles de sécurité traditionnels. En France, on a recensé pour l’année 2020 seulement, pas moins de 27 cyberattaques dans les principaux établissements dont le plus emblématique d’entre eux : les Hôpitaux de Paris ou encore les CHU de Rouen, de Saint-Denis et de Montpellier. Tous ces établissements se sont retrouvés paralysés par un ransomware pendant plusieurs heures, voire plusieurs jours. Raison pour laquelle le secteur de la santé doit préparer sa défense.
Pourquoi le secteur de la santé est-il tant ciblé par les ransomwares ?
Par définition, les ransomwares sont des attaques opportunistes. En règle générale, un groupe de cybercriminels tente à plusieurs reprises d’exploiter différents secteurs verticaux et celui de la santé est plus particulièrement exposé pour plusieurs raisons. Tout d’abord parce qu’il dispose de nombreux points d’entrée. Les équipes reçoivent énormément d’informations et peuvent recevoir un lien malveillant et cliquer dessus par inadvertance, dans l’urgence. Ceci étant renforcé par un niveau de stress encore plus élevé dans leur activité. Il y a donc un travail important d’éducation à réaliser auprès du personnel sur les dangers et mesures de protection.
Autre raison expliquant l’acharnement des cybercriminels dans ce secteur de la santé : les données. En effet, comme le secteur bancaire, celui de la santé représente une véritable mine d’or. Il s’agit principalement d’informations sur les patients (numéro de sécurité sociale, numéros de téléphone, résultats médicaux etc…) que les attaquants cherchent à dérober. Des informations volées qui sont généralement revendues sur le DarkWeb lorsqu’elles ne sont pas utilisées pour demander une rançon aux organisations victimes. Dernier exemple en date, le piratage du site de l’Assurance Maladie qui s’est soldé par le vol de données personnelles d’un million de Français. Ces données se retrouvent désormais en vente sur le Darkweb pour la somme de 6000 dollars.
Un autre facteur non négligeable à prendre en compte est que dans le secteur de la santé, il existe de nombreux systèmes difficiles à protéger car ils sont anciens et se trouvent généralement sur un réseau à plat où tout communique ensemble. Et cela offre de multiples opportunités d’infiltration aux cybercriminels. En effet, avec les nouvelles technologies, les objets et matériels médicaux connectés ont proliféré, ce qui a pour conséquence d’augmenter la surface d’attaque, sans que les mesures préventives aient été adoptées.
Protéger les établissements de santé de la menace ransomware
Un malware peut pénétrer dans un système de plusieurs façons mais en général, l’erreur vient d’une personne, via une pièce jointe dans un e-mail, des liens d’hameçonnage, des sites Web infectés, etc. Une fois rentré dans le système, les cybercriminels n’attaquent pas immédiatement, ils attendent un certain temps, se déplacent latéralement afin de chercher quels sont les autres systèmes exploitables et ensuite ils lancent le ransomware. En raison du caractère crucial des données et de l’urgence des soins, les cybercriminels en profitent pour semer la panique. Alors, les établissements se retrouvent à devoir payer les rançons s’ils souhaitent être de nouveau opérationnels au plus vite.
Il est toujours délicat de répondre à la question « comment empêcher ces attaques ? » car il existera toujours des acteurs malveillants cherchant à exploiter des situations pour leur profit. Toutefois, il existe des mesures de prévention efficaces. Comme expliqué précédemment, l’étape du ransomware n’est que le résultat d’un long processus d’infiltration. Les établissements de santé doivent donc se perfectionner dans la détection des anomalies avant qu’elles n’aboutissent à des attaques ransomwares. Il est donc essentiel de pouvoir surveiller le réseau et de savoir quand est-ce que le trafic est-ouest, le mouvement latéral suspect se produit afin d’identifier rapidement ce type d’intrusion et les arrêter. D’un autre côté, il faut aussi repérer les appareils infectés et les isoler pour limiter la propagation.
Afin d’identifier les compromissions le plus tôt possible, il faut appliquer la stratégie du « savoir et sécuriser ». Ainsi, les établissements de santé doivent savoir ce qui circule sur leur réseau et doivent comprendre ce qu’elles protègent ainsi que les enjeux et risques associés. Après avoir identifié les actifs du réseau, il faut comprendre comment les équipements communiquent, ce qu’ils font au quotidien et être capable de les surveiller. Une fois en possession de ces informations clés, les établissements doivent savoir comment les sécuriser via les outils adéquats. Cela offre ainsi une première ligne de défense solide qui permettra d’être alerté au plus tôt en cas d’intrusion.
Même si la cyber-menace n’a jamais été aussi pesante sur le secteur de la santé déjà sous pression, il est important de relativiser car les mesures de protection adaptées existent. Une stratégie complète associant éducation des équipes et observabilité avancée du réseau permettra la résilience du secteur, au service d’une continuité opérationnelle vitale.
___________________
Par Yann Samama, Senior Sales Engineer chez Gigamon
puis