Selon le dernier rapport IDC, plus d’un tiers des entreprises dans le monde ont été victimes d’attaques ransomwares au cours des 12 derniers mois. L’ANSSI a indiqué, pour sa part, plus tôt cette année, que le nombre de ces attaques a plus que triplé en 2020. Parmi les secteurs prisés figure celui de la santé, devenu une cible privilégiée en particulier depuis le début de la pandémie de COVID-19. Face à cette augmentation des risques, et avec la digitalisation progressive des services de santé, des dossiers médicaux ou encore de la Carte Vitale, il est essentiel de prendre les mesures adéquates afin de garantir la protection et le maintien des activités de ce secteur.
Les données relatives aux soins de santé constituent depuis longtemps une cible de choix pour les attaquants. Ce constat s’explique par le fait que les hôpitaux et autres organismes de santé privés stockent régulièrement des informations électroniques sur la santé des patients, parmi lesquelles figurent des données personnelles d’identification. De plus, contrairement à d’autres secteurs, les organismes de santé ne peuvent pas supprimer les dossiers des patients après des périodes déterminées ; ces derniers doivent en effet rester accessibles et sécurisés de façon permanente, ce qui les expose en continu aux menaces. En outre, la démocratisation de services tels que Doctolib, la digitalisation de services tels que l’Assurance Maladie avec le test décrété le 1er aout dernier d’une Carte Vitale dématérialisée pour certaines régions, le secteur, plus vulnérable que jamais, a besoin d’être au centre de l’attention des experts de la cybersécurité.
Vulnérabilité des systèmes de santé interconnectés
En tant que voies d’accès vers ces données sensibles, les terminaux utilisés dans les hôpitaux et les systèmes de santé représentent des cibles d’attaque majeures, au même titre que les dispositifs IoT médicaux. L’interconnexion de ces systèmes informatiques augmente les vulnérabilités du secteur aux cyberattaques telles que les ransomwares. Dans cette situation, les attaquants ont conscience que, dans un contexte d’urgence médicale, les organismes de santé ne peuvent pas se permettre de négocier longtemps alors que leurs systèmes IT sont menacés. De plus, même lorsque les organisations paient la rançon demandée, il n’y a aucune garantie que les systèmes seront restaurés, ou que les attaquants ne reviendront pas à la charge. Par ailleurs, au moment d’escalader les privilèges, il n’est pas rare que les cybercriminels laissent des « portes dérobées » leur permettant de réutiliser au besoin les accès à privilèges d’une victime ultérieurement. Partant de ce constat, une entreprise ayant versé une rançon pour récupérer ses fichiers peut donc être de nouveau ciblée par un ransomware, si elle n’a pas pris les mesures nécessaires pour identifier la cause profonde de l’attaque et sécuriser son réseau.
Les ransomwares sont orchestrés à travers l’exploitation des lacunes de configuration des accès aux systèmes IT dans le but de diffuser des logiciels malveillants. Pour ce faire, les cybercriminels utilisent souvent des kits de ransomware-as-a-service (RaaS) afin d’infecter des systèmes non corrigés à l’aide de techniques de phishing courantes. Ils peuvent recourir aux téléchargements de logiciels malveillants par « drive-by », c’est-à-dire l’installation automatique du malware, suite à la consultation d’un mail ou d’un site piégé, ou encore du « credential stuffing » ou au vol de données par force brute, qui consiste à « réaliser, à l’aide de logiciels ou de façon manuelle, des tentatives d’authentification massives sur des sites et services web à partir de couples identifiants/mots de passe (généralement, une adresse électronique et un mot de passe) » (source CNIL).
Recours aux comptes à privilèges
Nos recherches ont récemment démontré une augmentation significative des attaques de ransomware basées sur les opérateurs. Ces dernières ont la particularité de cibler des surfaces d’attaques spécifiques d’une organisation. Généralement, les attaquants opèrent de façon furtive pendant des périodes prolongées, en utilisant des modes d’actions TTP (Tactics, Techniques and Procedures) avancés afin de trouver et de voler des informations d’identification liées aux infrastructures cloud et sur site. Ils ciblent particulièrement les accès à privilèges élevés au niveau des points d’entrée au réseau, tels que des comptes administrateur. Dans le secteur de la santé, les professionnels travaillent fréquemment en utilisant des comptes à privilèges, comme dans le cas d’un médecin faisant sa tournée de visites avec une tablette et qui peut accéder aux dossiers médicaux de ses patients. De plus, les organismes tiers, tels qu’une compagnie d’assurance ou un fournisseur d’équipements médicaux, sont souvent sollicités pour utiliser ces types d’accès, hautement convoités par les cybercriminels.
Pour ces derniers, l’objectif est de récolter des informations d’identification permettant une augmentation importante de privilèges. Celle-ci favorise des déplacements latéraux au sein du réseau, à la recherche de plus de machines et de données plus précieuses à extorquer. Au cours de leurs attaques, les auteurs de ransomware cherchent à perturber furtivement les sauvegardes, à supprimer les « shadow copies » (technologie permettant de réaliser des sauvegardes automatiques ou manuelles) et à déverrouiller les fichiers pour maximiser leur impact. Lors de nombreuses compromissions, les attaquants ne se contentent pas d’exiger le paiement d’une rançon pour déchiffrer les données cibles, mais menacent également de les divulguer, si un paiement supplémentaire n’est pas effectué.
Zero Trust et moindre privilège comme protection
Face aux attaques par ransomware de plus en plus sophistiquées et ciblées, les organismes de santé doivent renforcer leurs dispositifs de sécurité et protéger les infrastructures critiques, afin de préserver les soins, la santé et la confiance des patients. Dans cette optique, une stratégie de Gestion des Accès à Privilèges (PAM) basée sur une approche Zero Trust constitue un moyen de protection efficace. Celle-ci implique que toute connexion aux systèmes d’une organisation soit identifiée avant de délivrer l’accès au réseau. Le principe du moindre privilège peut également être mis en place, afin d’octroyer aux utilisateurs l’accès minimum nécessaire à l’accomplissement de leur travail.
En plus d’aider à détecter et à bloquer les logiciels malveillants, ces solutions de sécurité des identités permettent de mettre fin aux compromissions d’identités à privilèges à des points critiques du processus d’attaque. Ainsi, les menaces peuvent être identifiées et stoppées avant qu’elles ne causent des dommages. Toutefois, la mise en place de ces outils doit impérativement s’accompagner d’efforts continus de sensibilisation et de formation du personnel aux enjeux de cybersécurité.
Face à la recrudescence des ransomwares, les établissements de santé ont un besoin urgent de protection afin de garantir la pérennité de leurs activités. En effet, ce secteur, en première ligne lors de la lutte contre la pandémie, présente des spécificités en matière d’infrastructures informatiques, facilement exploitables par les hackers. Par conséquent, la mise en place de mesures de sécurité adaptées est essentielle afin de limiter les nuisances susceptibles de perturber les soins et répondre aux enjeux de santé publique. La question n’est pas de faire des professionnels de santé des spécialistes de la cybersécurité mais de leur donner les armes pour se prémunir contre les attaques dont ils seront tôt ou tard les victimes.
________________________
Par Jérôme Colleu, Ingénieur Avant-Vente chez CyberArk
puis