Le secteur de la santé dans la ligne de mire des cybercriminels

Les avancées en matière de technologies, et en particulier l’avènement de l’IoT, ont propulsé le secteur de la santé à l’ère du numérique, l’exposant par la même occasion à des menaces plus nombreuses et plus sophistiquées.

Les organismes de santé font désormais l’objet d’attaques puissantes à travers le monde. Les données qui y sont stockées et traitées chaque jour sont devenues un bien précieux pour la cybercriminalité souterraine, jusqu’à être utilisées dans des attaques conduites à l’encontre d’états-nations. En 2015, plus de 113 millions de dossiers ont été dérobés aux Etats-Unis, où les attaques causent chaque année un préjudice de plus de 6 milliards de dollars, selon le département de la Santé et des Services Sociaux. Or il existe sans doute un grand nombre d’autres cas non signalés, tant sur le territoire américain que dans les autres pays. À l’heure où les institutions espèrent bénéficier d’un cadre réglementaire renforcé avec la prochaine entrée en application du Règlement Général européen sur la Protection des Données (RGPD), il est cependant urgent pour tous les acteurs du secteur, que ce soit dans les sphères privées ou publiques, de prendre la mesure du phénomène et de comprendre comment se protéger efficacement à travers chaque étape du cycle de vie d’une cyberattaque.

Les dossiers médicaux électroniques hautement convoités

Aux Etats-Unis, l’année 2015 a été marquée par un nombre important de violations de données dans le secteur de la santé. Cela s’explique essentiellement par les attaques perpétrées contre trois des principaux fournisseurs d’assurances aux Etats-Unis : Excellus Health Plan, Premera Blue Cross et Anthem. Bien que le nombre de brèches se soit stabilisé depuis, la quantité de dossiers volés est toujours significative, avec un total de 14 millions en 2016. Au Royaume-Uni, plus de 800 cas individuels de violations ont été rapportés à l’Information Commissioner’s Office (ICO), dépassant de loin tous les autres secteurs. Mais pourquoi les données médicales sont-elles si recherchées ?

Les établissements de santé doivent être conscients que les Dossiers Médicaux Electroniques (DME) sont très prisés car synonymes de profit accru pour les cybercriminels, comparé à la simple revente de données personnelles. Ils contiennent en effet une précieuse combinaison de données personnelles, médicales, financières et d’informations liées aux assurances. Or, ces éléments ont une durée de vie considérable, contrairement à la nature périssable des données de carte bancaires. Les cybercriminels peuvent analyser ces informations et les vendre ensemble ou séparément. Elles peuvent servir notamment à :

  • Mettre en vente de fausses ordonnances
  • Créer de faux papiers administrativement crédibles (identité, certificats de naissance, …)
  • Proposer des déclarations factices (assurances, antécédents médicaux, …)

Les hackers peuvent s’attaquer aux organismes de santé eux-mêmes ou aux fournisseurs du logiciel qu’ils utilisent pour gérer les dossiers médicaux dans le cloud. Les éditeurs de logiciels sont notamment particulièrement ciblés car ils offrent un accès à de multiples bases de données clients, générant ainsi un excellent retour sur investissement pour les cybercriminels. Malheureusement, les meilleures pratiques en termes de protection, y compris l’authentification à deux facteurs, le chiffrement des données et la gestion des vulnérabilités sont encore limitées, offrant des failles de sécurité que les cybercriminels sont amplement capables d’exploiter.

Les RSSI du secteur et leurs équipes luttent constamment contre ces menaces. Leur travail est d’autant plus compliqué que les environnements qu’ils sont chargés de défendre sont complexes et hétérogènes, les obligeant à dépendre d’une multitude de solutions de sécurité dont la gestion est lourde et coûteuse.  

La menace croissante de l’exposition à l’IoT

La surface d’attaque, déjà significative, continue de s’accroître via le développement de l’IoT. De nos jours, les dispositifs et systèmes médicaux intelligents sont partout. Nombre d’entre eux ne sont pas sécurisés, offrant un point d’entrée idéal aux hackers. Ces appareils compromis constituent non seulement de potentielles portes ouvertes aux plus larges réseaux de ces cybercriminels, mais peuvent également être utilisés pour lancer des attaques DDoS (attaques par déni de service distribué), comme l’a montré le botnet Mirai, conçu pour infecter les objets connectés. Plus inquiétante encore est le risque que ces dispositifs médicaux soient à l’avenir bloqués en échange d’une rançon, mettant à la fois en danger les établissements de santé et les patients.

Une récente étude réalisée sur Shodan, un moteur de recherche d’objets connectés, a révélé plus de 1 000 certificats SSL expirés aux Etats-Unis, exposant les organisations concernées à de potentielles attaques visant à dérober les Dossiers de Santé Electroniques (DSE). Une étude qui démontre encore que les organismes de santé sont la cible de nombreuses cyberattaques, et sont confrontés à une menace croissante : les dispositifs médicaux connectés.

Aider les constructeurs à mieux comprendre les menaces auxquelles ils font face, mais aussi les vulnérabilités qu’ils présentent à travers leurs appareils et systèmes d’exploitation, constitue une première étape vers une protection renforcée. Ce niveau d’information est indispensable pour permettre aux établissements de santé de mettre en œuvre des stratégies efficaces de gestion des risques, que ce soit pour aujourd’hui ou pour demain.