Secteur de la santé : comment renforcer les défenses contre les cyberattaques ?

Pourquoi les cyberattaques sont-elles de plus en plus nombreuses dans les établissements de santé et comment ces derniers peuvent-ils s'en prémunir ?

La santé est un secteur de plus en plus soumis aux cyberattaques. À la suite de la crise sanitaire, les hôpitaux et les cliniques ont connu des taux alarmants d'attaques. Ces incidents ont parfois directement mis en danger les patients. Mais pourquoi les hôpitaux et cliniques sont-ils si vulnérables aux cyberattaques et que peuvent faire les RSSI et responsables sécurité pour renforcer leurs stratégies de cyberdéfense ?

Comprendre la nature changeante du ransomware

Pour cibler les prestataires de soins médicaux, les cybercriminels, motivés par l'argent, ont deux principales solutions : l'interruption de service et le vol de données.

  • Exploiter la peur de l'interruption de service

Ces dernières années, les ransomwares ont causé des perturbations majeures dans les services de santé. En empêchant le personnel médical d'accéder aux outils et bases de données critiques, ils ont entraîné l'annulation d'opérations chirurgicales, le report de traitements contre le cancer et mis en danger la vie de patients.

Selon une étude datant de mai 2022, les victimes du secteur de la santé seraient les plus susceptibles de payer les rançons (61% contre 46% en moyenne pour les autres secteurs d'activité) et ce, malgré les avertissements émis par les différentes autorités en matière de cybersécurité (CISA, ANSSI etc….). Les établissements de santé ne peuvent, en effet, pas se permettre de perdre l’accès à leurs systèmes car chaque minute d’interruption de service peut avoir des conséquences vitales. Bien conscients, les cybercriminels en profitent.

  • Des données médicales lucratives et très convoitées

Certains établissements de santé se sont équipés de système efficace de sauvegarde et de reprise d’activité afin de limiter les interruptions de service, car ils attisent toutes les convoitises. En effet, les hôpitaux et les cliniques détiennent des quantités massives de données sensibles sur leurs patients, des coordonnées, des numéros de sécurité sociale, des données de paiement ou d'informations médicales protégées (IPS), qui se monnayent facilement sur le darkweb et qui peuvent être utilisées pour l'usurpation d'identité et la fraude. Un dossier médical se négocie 350 €, soit en moyenne 2,5 fois plus que les documents classiques.

Ainsi, en avril dernier, le groupement hospitalier de territoire de la région Grand Est s’est vu dérober 28 Go de données mises en vente sur le darkweb. En septembre 2022, des données dérobées au Centre hospitalier de Corbeil-Essonnes ont également été mises en ligne sur le site du groupe cybercriminel Lockbit (archive de plus de 11 gigaoctets). Enfin en décembre dernier, c’est le système informatique de l’hôpital de Versailles qui a été coupé par mesure de sécurité.

Contrairement aux données de paiement, les dossiers médicaux comme les résultats de tests, les diagnostics et les plans de traitement ne peuvent être supprimés, annulés ou remplacés. Entre les mains d'un cybercriminel opportuniste, elles peuvent causer des dommages à long terme aux patients. Lorsque des données de santé privées sont piratées, les victimes peuvent se retrouver à la merci de demandes de rançon ciblées et de tentatives de chantage.

Conscients que l'extorsion de données nécessite moins de ressources et est plus rentable, certains hackers choisissent de n’opter que pour cette méthode. Les plans de reprise après sinistre ne peuvent pas atténuer une telle menace, et une protection efficace exige la mise en place d'un logiciel de sécurité fiable capable de prévenir et de détecter l'accès initial avant que les données ne soient volées.

  • Les systèmes obsolètes sont plus faciles à exploiter

Pour les cybercriminels, les systèmes obsolètes et l'absence de solutions de sécurité avancés sont autant de possibilités d'intrusion. La nature spécifique de la technologie dans le secteur de la santé, le coût élevé de la mise en œuvre et de la maintenance de nouveaux systèmes empêchent de nombreux fournisseurs de petite et moyenne taille de procéder à des mises à jour régulières. Par ailleurs, nombre d’établissements de santé doivent travailler avec des budgets limités et ne donnent pas la priorité à la mise à jour des anciens systèmes. Pourtant la multiplication des attaques plaide en faveur d’une réévaluation des priorités budgétaires et du retrait rapide des systèmes obsolètes et non sécurisés.

  • La digitalisation ne se traduit pas toujours par une adoption totale

La transformation numérique a déstabilisé le monde de la santé et bousculé les habitudes de professionnels et d’établissements médicaux travaillant souvent en silos. Les solutions déployées pour résoudre un problème peuvent parfois dérégler le flux de travail, surtout si la plateforme technologique de l’établissement en question n’est pas compatible. Un manque d'intégration avec les systèmes existants diminue le niveau de sécurité des patients et des dossiers médicaux, tout en réduisant la productivité du personnel.

Réduire les risques liés aux nombreux appareils, systèmes d'exploitation et logiciels utilisés dans l'entreprise n'est pas une opération simple, mais l'émergence de la technologie XDR apporte des réponses à des problématiques que les technologies plus anciennes, comme les SIEM et les SOAR, ont tenté de résoudre sans y parvenir.

  • Une conformité réglementaire en constante évolution

Les prestataires de soins de santé assument une lourde responsabilité lorsqu'il s'agit de trouver un équilibre entre la protection de la vie privée des patients, le respect de l'HIPAA, du GDPR et la qualité des soins. Se conformer à des normes en constante évolution peut devenir complexe, même pour les prestataires de services médicaux les mieux financés. Au cours des dernières années, la transformation digitale et le COVID-19 ont modifié les réglementations, ajoutant de nouveaux contrôles dont la mise en œuvre peut prendre des mois, voire des années, à un établissement de santé.

À mesure que de nouvelles surfaces d'attaque et menaces apparaissent dans le cyber-paysage, les cadres réglementaires évoluent également, faisant de la conformité un casse-tête perpétuel pour les structures de santé.

Les établissements qui utilisent le cloud pour stocker des données en toute sécurité et conformité doivent comprendre le modèle de responsabilité partagée et rechercher des solutions de sécurisation dans le cloud afin d’éradiquer toute faille.

Comment renforcer les défenses des fournisseurs de services médicaux

  • Adopter une solution de sécurité unifiée des appareils

Disposer d'un large éventail de dispositifs IoT, combiné à de longs cycles de correctifs, rend les endpoints vulnérables aux cyberattaques. Alors que le secteur des services médicaux continue progressivement à moderniser ses systèmes et outils, les appareils connectés, les ordinateurs portables et les machines s'ajoutent et augmentent la surface d'attaque exploitable au plus grand bénéfice des cybercriminels. Il existe pourtant des solutions de sécurité adaptées qui peuvent protéger un appareil ou un endpoint et garantir un inventaire complet de tout ce qui se trouve sur un réseau en temps réel.

  • Faire confiance aux opérations de sécurité et à la résolution des menaces en toute simplicité.

Les experts internes en cybersécurité sont difficiles à trouver dans le secteur de la santé. Ils sont cependant indispensables pour analyser, trier et neutraliser toute menace et permettre aux équipes de poursuivre leurs activités. En bloquant l'attaque initiale, ils protègent les dossiers des patients et du personnel, évitent les retards dans les soins médicaux vitaux, fidélisent les patients et empêchent les interruptions préjudiciables à leur réputation.

  • Protéger les workloads dans le cloud

Pour répondre aux exigences réglementaires les plus récentes en matière de protection des données, de nombreux prestataires de santé s'appuient sur des environnements cloud. Il est donc essentiel qu’ils comprennent comment ces services sont mis en œuvre et maintenus. Une bonne visibilité au sein du cloud est incontournable afin de pouvoir discerner comment le partage de fichiers est effectué, quel type de données est stocké et quelles applications sont connectées.

Alors que les soins de santé se digitalisent de plus en plus, les cybercriminels semblent avoir jeté leur dévolu sur ce secteur et ce dans le monde entier. Mais les établissements de santé ne peuvent pas se permettre d'attendre une prochaine attaque. La prévention et la visibilité sont les principaux objectifs de leurs RSSI, qui s'efforcent de protéger les données médicales des patients et de garantir des soins continus à tous ceux qui en ont besoin. Responsables de la sécurité des données, de la mise en la conformité réglementaire, des risques liés à l'IoT et de la grande valeur des informations de santé protégées, les RSSI et responsables techniques doivent renforcer les dispositifs de cybersécurité contre les violations de données et les attaques par ransomware. La mise en œuvre d’une plateforme de sécurité unique et robuste garantit la transparence de tous les endpoints critiques et protège les patients et leurs données sensibles contre toute compromission.