Alors que le secteur de la santé français subit une vague sans précédent de cyberattaques, des études récentes soulignent le besoin urgent de renforcer la sécurité des données et de sensibiliser à la menace croissante du cybercrime.
Corbeil-Essonnes, Rennes, Versailles… De nombreux hôpitaux français ont été victimes de cyberattaques au cours des derniers mois. Ces attaques contre le secteur de la santé semblent être désormais devenues le terrain de jeu des cybercriminels.
Dans un article sur la cybersécurité mis à jour le 3 janvier 2023, le ministère de la Santé et de la prévention reconnaît que la cybersécurité représente un enjeu majeur pour les établissements de santé. Il explique également que la sécurité relève à la fois de la responsabilité de chacun et d’une approche collective.
Mais les établissements de santé sont-ils prêts à faire face à la multiplication des cyberattaques ? Ce n’est pas nécessairement le cas selon l’édition 2023 de l’étude annuelle de Mimecast sur la sécurité des emails (SOES 23). Menée auprès de responsables de la sécurité des systèmes d’information (CISO) et de cadres IT, l’étude révèle que le secteur de la santé peine à faire face à l’épidémie actuelle de cybermenaces.
Les établissements de santé français, une cible privilégiée
Les cybermenaces à l’encontre du secteur de la santé continuent de se multiplier. Selon le Forum économique mondial (World Economic Forum), le secteur a subi en moyenne 1 684 attaques par semaine au cours du 1er trimestre 2023, soit une augmentation de 22% par rapport à la même période en 2022.
Comme en témoigne le nombre de violations de données, entre mars 2022 et mars 2023, la santé était le second secteur le plus touché en France, selon l’édition 2023 du rapport annuel d’IBM sur le coût d’une violation de données. Et la tendance risque de se poursuivre : 75% des 184 participants dans le domaine de la santé à l’étude SOES 23 de Mimecast expliquent qu’il est probable que leur organisation soit victime et subisse des dégâts liés à une attaque par mail en 2023.
Par ailleurs, les institutions de santé génèrent un volume très important de données. Un hôpital seul peut en produire jusqu’à 50 pétaoctets par an, soit un très large volume d’informations à stocker et à protéger.
Ceci représente une mine d’or pour les cybercriminels. Pour voler les données, ceux-ci sont majoritairement passés par le phishing. Plus de la moitié (56%) des participants à l’étude œuvrant dans le domaine de la santé ont ainsi rapporté une forte augmentation des attaques par phishing contre leur organisation.
Le ransomware reste malgré tout une menace majeure pour le secteur, et est souvent la résultante d’une attaque commencée avec un email frauduleux…
Au cours de l’année passée, 8 organisations de santé sur 10 ont été significativement touchées par une attaque par ransomware. L’étude a également révélé que 48% de ces entreprises ont été confrontées à une menace par mail qui s’est transmise d’un utilisateur infecté à un autre. Une autre méthode pour les cybercriminels consiste à se faire passer pour des institutions de santé auxquelles font confiance les patients pour leur voler leurs données ou installer un malware.
Des données très rentables pour les cybercriminels
La raison de ces attaques croissantes ? La grande valeur des données collectées par les organisations de santé. En comparaison avec le vol de numéro de cartes de crédit, la vente de dossiers de santé volées peut rapporter 10 fois ou plus sur le dark web. Ceci s’explique par le fait que ces dossiers incluent souvent des informations de santé protégées (PHI), des numéros de sécurité sociale ainsi que d’autres informations personnelles identifiables (PII). Ces données peuvent être utilisées pour du chantage ou des vols d’identité. D’autres dossiers contenant des recherches médicales exclusives sont également convoités par les voleurs, qui les vendent ensuite sur le marché noir.
Des conséquences potentiellement dramatiques
Prenons un exemple concret : lors de l’attaque contre l’hôpital de Corbeil-Essonnes, une archive de plus de 11 gigaoctets a été mise en ligne par le groupe Lockbit un mois après le vol de ces données. Parmi celles-ci figuraient des documents confidentiels de l’hôpital concernant des patients, des membres du personnel et des partenaires de l’hôpital. Les pirates peuvent ensuite les utiliser dans des campagnes de phishing ou de piratage de comptes sensibles. Les données des victimes peuvent alors être alors disponibles sur le marché noir, ce qui représente un véritable fléau pour les victimes. Autre exemple : des hôpitaux et des cliniques en Californie, dans le Connecticut, en Pennsylvanie, à Rhode Island et au Texas ont tous récemment subi des cyberattaques. Début août, ces incidents ont perturbé de nombreux systèmes informatiques, forçant ainsi certaines urgences à être fermées et des ambulances à dévier de leur trajectoire.
Les conséquences néfastes de ces attaques sont encore aggravées par le manque de vigilance du secteur. Par exemple, moins d’un tiers (32%) des participants à l’étude SOES 23 ont déclaré avoir un système en place surveillant ou protégeant contre les attaques par mail, ce qui représente le pourcentage le plus bas parmi tous les secteurs, à l’exception des médias et du divertissement.
Le secteur de la santé dépense également moins en cybersécurité que les autres industries. 52% des participants allouent entre 6% et 15% de leur budget IT à la cybersécurité ; ce chiffre descend à 37% pour les participants dans le domaine de la santé, soit le niveau le plus faible parmi tous les secteurs étudiés. On aperçoit malgré tout une lueur d’espoir : les CISO et d’autres cadres IT interrogés reconnaissent le problème.
Lorsqu’ils sont interrogés sur la part du budget IT de leur organisation qui devrait être attribuée à la sécurité des données, plus de la moitié (57%) d’entre eux s’accordent pour dire que ce montant doit être augmenté d’en moyenne 12%.
Quelles méthodes pour y remédier ?
Les efforts pour contrer ces attaques ne sont donc pas suffisants, bien que des premières démarches aient été entreprises pour améliorer la préparation en matière de cybersécurité.
Pour lutter contre ce fléau, il est nécessaire de combiner des actions envers les collaborateurs mais aussi de processus et de technologie :
– Former les collaborateurs aux enjeux de cybersécurité ;
– Mettre en place des processus permettant de protéger les données : par exemple un hôpital pourrait instaurer une politique de partage de données sensibles via un portail ou un service d’email cryptés ;
– S’assurer de la sécurité des emails pour adopter des solutions capables d’identifier les usurpations d’identité des institutions de santé. L’apport de la technologie peut également s’illustrer par davantage de visibilité sur les appareils connectés, l’adoption d’une approche « Zero Trust », la modernisation des infrastructures numériques, l’automatisation des processus pour éviter les erreurs humaines…
Le critère essentiel reste néanmoins l’augmentation du budget alloué à la cybersécurité, un défi à relever pour les prochaines années.
____________________________
Par Sébastien Weber, vice-président Mimecast France
À lire également :
La santé, un secteur hautement sensible en proie aux ransomwares
Hôpitaux : la cybersécurité ne doit plus être une variable d’ajustement
L’IA au service de la santé : les données synthétiques peuvent-elles améliorer l’éthique ?
Santé : et si les technologies réseaux pouvaient réinventer l’expérience des patients et du personnel soignant ?
La sécurité du Cloud Native est-elle suffisante ?