Attaques par ransomware, le secteur de la santé en première ligne

Une attaque par ransomware représente un véritable désastre pour tout organisme de santé. Aujourd'hui, les soins dépendent dans une large mesure des technologies.

Le 30 octobre dernier, le FBI, l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), ainsi que le département de la santé et des services sociaux des États-Unis (HHS), ont signalé une menace imminente d'attaques ransomwares contre le système de santé américain ; une alerte qui n'est pas sans rappeler l'attaque qui a ciblé le CHU de Rouen en début d'année, paralysant alors son système d'information.

Les cyberattaques qui mettent en jeu des ransomwares sont désormais à leur apogée. En effet, selon une récente étude, le nombre d’attaques par ransomware détectées et bloquées a augmenté de 715% sur une base annuelle. Si ces attaques peuvent être préjudiciables à toute organisation, quelle que soit sa taille ou son activité, elles peuvent avoir des conséquences particulièrement graves pour le secteur de la santé. Ainsi, les ransomwares ont non seulement une incidence sur la trésorerie et la réputation des établissements, mais aussi sur la santé et les vies humaines, ce qui, dans le contexte de la pandémie actuelle, signifie que les organismes de santé sont plus vitaux et plus fragiles que jamais.

Une attaque par ransomware représente un véritable désastre pour tout organisme de santé. Aujourd’hui, les soins dépendent dans une large mesure des technologies. Sans accès aux données de santé et aux systèmes IT, les médecins ne sont pas en mesure de prodiguer des soins aux patients et de prendre des décisions éclairées. Pire encore, si les unités de soins intensifs et les appareils de maintien des fonctions vitales, qui sont généralement connectés au réseau, sont bloqués par des ransomwares, la vie de patients gravement malades est mise en danger. De tels dégâts sont sans commune mesure avec les pertes financières et d’image, qui, pourtant, affectent toujours les organismes de santé, à l’instar de n’importe quelle autre organisation.

Si le secteur de la santé est vulnérable aux ransomwares, c’est notamment parce que la plupart des hôpitaux européens ont recours à de nombreux systèmes obsolètes qui peuvent être facilement exploités par des pirates informatiques. En France, les organismes de santé pâtissent de cette obsolescence ; même si un groupement hospitalier régional a lancé une initiative destinée à renforcer la cybersécurité dans tout le secteur, les experts affirment qu’en réalité, l’achat et la mise en œuvre d’outils de sécurité sont fonction des budgets et manquent de gouvernance.

La vulnérabilité des hôpitaux face aux cybercriminels est d’autant plus grande que leurs services IT manquent de personnel et sont sujets à des erreurs, notamment car ils sont soumis à une pression supplémentaire qui découle de la pandémie. Ainsi, l’une de nos récentes études sur les cybermenaces en 2020 a montré que 39% des organismes de santé ont été victimes d’erreurs administratives au cours des derniers mois. Parmi ces erreurs, figurent des modifications de configuration inappropriées ou l’impossibilité d’installer les mises à jour en temps voulu, ce qui se traduit par des vulnérabilités. Par exemple, la tristement célèbre attaque par ransomware à l’hôpital de Düsseldorf était le résultat d’une vulnérabilité dans un appareil VPN.

Dans ces conditions, n’importe quel hôpital peut être victime d’un ransomware. Il est donc logique de se préparer au pire scénario, en tenant compte de la pénurie de ressources à laquelle les organisations de ce secteur sont confrontées. Pour cela, elles doivent accorder une attention particulière au remplacement des anciens systèmes par des outils modernes dans le cloud. Les services de cloud offrent en effet une sécurité renforcée contre les attaques extérieures et sont faciles à entretenir. Toutefois, il est important que les organisations n’oublient pas de résoudre les problèmes de sécurité spécifiques au cloud qui se posent, tels que les menaces internes, et qu’elles prennent leurs responsabilités pour sécuriser leur réseau et leurs données dans le cloud.

Il est par ailleurs important que l’ensemble du personnel soit en mesure d’identifier un email malveillant et de savoir à qui signaler un incident de sécurité. Pour ce faire, la formation doit être régulière et adaptée à la fonction. Si chaque médecin a conscience des conséquences désastreuses qu’un ransomware peut avoir sur l’hôpital et les patients, il considérera que l’hygiène en matière de cybersécurité est aussi importante que celle dans son travail quotidien.  De plus, il est essentiel d’apporter une attention constante aux pratiques routinières, telles que la gestion et le correctif des vulnérabilités, la segmentation du réseau, la sécurité des points d’accès, les technologies anti-malware et la sécurité des emails.

Une autre tâche importante consiste à réduire au minimum la surface d’attaque en limitant l’accès aux données sensibles, en particulier les données précieuses des patients, et en révoquant régulièrement les privilèges excessifs. Pour cela, une organisation doit déterminer quels types de données sont stockées et où elles se trouvent, et remédier à leur surexposition. L’automatisation facilite l’accomplissement de ces tâches, même pour les équipes IT en sous-effectif. De plus, les établissements de santé doivent s’attacher à améliorer leur capacité de détection des activités inhabituelles pour réagir rapidement à des attaques telles que les ransomwares, car celles-ci se traduisent par des anomalies dans le comportement des utilisateurs. Il s’agit notamment de tentatives de connexion multiples, de modifications massives de fichiers, de tentatives de connexion VPN à partir d’emplacements géographiques atypiques et de tentatives d’accès en dehors des heures de bureau, ou d’une combinaison de plusieurs de ces éléments. L’équipe IT devrait être avertie de telles anomalies et réagir immédiatement.

Enfin, les établissements ont tout intérêt à disposer d’un plan de récupération réalisable à portée de main. L’utilisation de sauvegardes fiables (de préférence, une combinaison de formats en ligne et hors ligne) est l’une des défenses les plus importantes, sinon la plus importante, contre les ransomwares. Cependant, une organisation se doit également de mettre en place un plan de récupération solide, qui documente entre autres les processus, les étapes et les rôles de l’ensemble des processus. Celui-ci devrait inclure le scénario dans lequel des données sensibles sont rendues publiques, avec toutes les étapes nécessaires pour notifier les autorités, enquêter sur les causes profondes et communiquer avec les personnes concernées.

Les experts en sécurité s’accordent à dire que le paiement de la rançon est une mauvaise pratique. En réalité, la majorité des victimes de ransomwares qui paient la rançon ne récupèrent pas leurs fichiers, soit parce que les attaquants les escroquent et ne partagent pas les clés promises, soit parce que les pirates ont si mal mis en œuvre les algorithmes de chiffrement/déchiffrement que les clés ne fonctionnent pas. Les organismes de soins de santé ont donc plutôt intérêt à instaurer les pratiques fondamentales en matière de cybersécurité s’ils ne veulent pas être victimes de la prochaine attaque généralisée par ransomware.