Ransomware : la menace qui pèse sur les hôpitaux

Depuis le début de la pandémie, les organisations de santé sont une cible majeure des attaques de rançongiciels. Les cybercriminels chiffrent ainsi des données, ce qui en bloque l'accès, et réclament une rançon contre leur libération. La dernière attaque en date a visé la clinique des Cadrans Solaires dans les Alpes-Maritimes.

Le ransomware est devenu une activité très lucrative pour les cybercriminels durant les douze derniers mois. Des organisations de tous secteurs en ont été victimes, mais les établissements de santé, en particulier les hôpitaux, ont particulièrement été victimes de cette tendance croissante, cédant parfois aux demandes des cybercriminels afin de retrouver l'accès à leurs infrastructures critiques et aux données des patients.

De nombreuses raisons expliquent pourquoi les établissements de santé du monde entier ont été attaqués. Ils fournissent en effet un service essentiel qui, plus que jamais, est mis à rude épreuve en raison du cCovid-19. Une rupture réussie du système informatique d'un hôpital est susceptible d'avoir un impact sur la qualité des soins prodigué, la rapidité et l'efficacité de ses opérations, la coordination entre le personnel hospitalier, la logistique et bien plus encore. C’est pourquoi les hôpitaux se sentent obligés de payer les rançons, et les attaquants ont donc tout à gagner financièrement si leurs attaques réussissent.

Logiciels anciens et erreur humaine

La criticité du secteur, et donc la plus grande chance de récompense financière, n'est pas la seule raison pour laquelle le secteur de la santé est une cible de choix pour les attaquants. Il s’agit en outre du matériel médical fonctionnant sur des logiciels qui ne peuvent pas être mis à jour. Trop souvent, l'infrastructure technologique et la sécurité sont une réflexion après coup ou en bas de la liste des priorités. Cet état d’esprit devient rapidement problématique avec la vitesse actuelle des progrès technologiques et la nature opportuniste des cybercriminels d’aujourd’hui. Les équipements critiques deviennent obsolètes et les anciens systèmes d'exploitation ne sont plus soumis à une maintenance et une gestion régulières ou approfondies. L'erreur humaine est une autre source de compromission, avec de nombreuses attaques réussies résultant de liens malveillants ou de pièces jointes envoyées dans des emails aux ordinateurs de l'hôpital dans des communications apparemment légitimes.

Le gouvernement français a récemment annoncé investir prochainement 350 millions d’euros dans la cybersécurité pour protéger ces établissements. Cette enveloppe comprend des audits, la création d'un service national de cyber-veille en partenariat avec l'ANS (Agence du Numérique en Santé), ainsi que la formation des salariés pour accroître leur cyber-hygiène. Bien que ce soit une bonne nouvelle, il y a peu de moyens actuellement disponibles pour protéger les prestataires de soins de santé en attendant. Or, la question n’est pas de savoir si les organisations seront ciblées, mais quand et avec quel degré de gravité.  

Contenir les vulnérabilités

Être en mesure de détecter une intrusion en temps voulu leur permet d’éviter de subir de plein fouet une attaque de ransomware, avec toutes les conséquences dommageables qu’elle comporte. En outre, il faut veiller à utiliser des logiciels de sécurité patchés. Ces derniers bloquent en effet les menaces et permettent d’identifier tout comportement anormal pouvant apparaître dans le réseau. Cependant, toutes les applications et tous les programmes sont à mettre à jour dès que les patchs sont disponibles, car ils remédient à des vulnérabilités existantes. Tout retard dans leur installation risque de se traduire par des failles dans la sécurité, qui seront immédiatement exploitées par les cybercriminels. Enfin, les hôpitaux doivent bénéficier de paramètres de connexion suffisamment sécurisés. L’authentification à deux facteurs, par exemple, permet d’ajouter une couche supplémentaire de sécurité pour se connecter sur des plateformes telles que Google Drive. Un autre moyen de sécuriser les données consiste à utiliser des tokens permettant de valider les identifiants.

Outre les hôpitaux, l’Agence européenne des médicaments (EMA) a été la cible d’une cyberattaque en 2020, et BioNTech, qui fabrique l’un des vaccins actuels en partenariat avec Pfizer, a révélé que sa procédure d’homologation avait fait également l’objet d’une intrusion frauduleuse. Les attaques de ce type peuvent avoir des conséquences désastreuses pour les services de santé et pour la société en général – perte des dossiers médicaux, retards ou annulations dans la prise en charge des traitements, par exemple. Les activités des prestataires de santé sont par nature extrêmement sensibles du fait qu’ils détiennent des informations vitales sur les patients. Les organismes de santé doivent par conséquent effectuer régulièrement des sauvegardes, pour retrouver des données récentes en cas de ransomware, et limiter l’accès à leurs services, afin que seules les applications reconnues et dignes de confiance puissent être utilisées en interne. Ils doivent également veiller à offrir une formation adéquate à leur personnel en matière de sécurité et d’hygiène numérique, afin que les employés soient à même de repérer des tentatives d’intrusion et des tactiques utilisées par les cybercriminels. S’ils sont victimes d’une attaque de ransomware, les équipes IT doivent plus particulièrement être en mesure d’isoler les systèmes infectés, de collecter les journaux et les événements, et d’accorder la priorité à l’identification et à la suppression de la menace.

Déjà disponible en Islande et en Israël, la France réfléchit actuellement à la mise en place d’un passeport vaccinal, mais cela soulève de nouvelles questions en termes de cybersécurité. Alors que les attaques de ransomware frappant les organismes de santé continuent de s’accélérer, les hackers devraient également cibler plus spécifiquement toutes les activités et tiers associés, en vue de recueillir des données clients critiques. Les passeports vaccinaux ne feront donc pas exception. Leur format – physique et/ou digital – doit donc tenir compte des menaces actuelles pour collecter, stocker et gérer de manière optimale tout en protégeant les informations des citoyens.