Recrudescence des ransomwares dans les établissements de santé : l'efficacité de la lutte passe par l'anticipation

Les établissements de santé, désormais conscients de la cybermenace encourue, doivent faire preuve d'anticipation et se préparer à de potentielles attaques pour faire face à la montée en puissance des ransomwares

Depuis le début de la crise sanitaire, les établissements de santé sont devenus les cibles privilégiées des attaques par ransomwares et la situation ne semble pas être en passe de s’améliorer. Selon le dernier rapport État des Ransomwares 2021, 34% d’entre eux ont été touchés ces 12 derniers mois. Les hôpitaux de Villefranche-sur-Saône et de Dax sont les dernières victimes en date d’une longue série d’attaques au cours desquelles les établissements de soin ont été confrontés au ralentissement voire à l’arrêt de leur activité. À l’échelle mondiale, un hôpital serait attaqué tous les 3 jours selon le Cyberpeace Institute. Face à l’omniprésence de cette menace, le ministère des Solidarités et de la Santé a mis en place une politique d’accompagnement et de renforcement de la sécurité pour venir en aide au secteur dans une situation alarmante.

Les établissements de santé, cible privilégiée des ransomwares

Aurait-il été possible d’anticiper cette menace ? Le manque d’adaptabilité des systèmes informatiques des hôpitaux et plus généralement des établissements de santé en ont fait des cibles privilégiées pour les hackers. En effet, dans son rapport sur l’état de la menace rançongiciel à l’encontre des entreprises et institutions, l’Anssi révèle que les hôpitaux sont aujourd’hui la cible de 11% des attaques informatiques. Toutefois, le cyberisque encouru peut être directement lié aux spécificités du secteur : le fonctionnement décentralisé des établissements de santé ou encore la croissance exponentielle du volume de données sensibles relatives aux patients qui sont collectées et stockées sur des supports électroniques (comme pour le dossier patient) en sont de parfaits exemples. La progression du volume de données de santé a accéléré les menaces. Ainsi, une fuite de données sensibles issues du domaine administratif et médical, compromettant les dossiers de plus 500 000 patients français, a été révélée il y a quelques semaines.

Cette hausse des attaques par ransomware est également à mettre en corrélation avec la crise sanitaire. À l’instar de tous les pays et face à la soudaineté de la pandémie de Covid-19, en France, les établissements de soin ont dû mettre en place de nouveaux modes de fonctionnement en urgence sans privilégier nécessairement la sécurité des infrastructures IT. Si les téléconsultations représentaient moins de 1% des consultations avant la crise sanitaire, elles constituent désormais plus de 11% de l’ensemble des consultations selon l’Assurance Maladie. Ce basculement presque instantané vers la télémédecine n’a pas échappé aux cybercriminels qui ont tout de suite perçu les potentielles nouvelles failles de sécurité provoquées par cette évolution.

Parallèlement, le niveau de sophistication des attaques par ransomware augmente au fur et à mesure que les attaquants se professionnalisent. Toujours selon le rapport État des Ransomwares 2021, dans près de deux tiers (65%) des incidents à l’encontre des établissements de santé, les attaquants parviennent à chiffrer des fichiers. Habitués aux attaques par force brute à grande échelle, les cybercriminels adeptes d’attaques par ransomware font désormais appel à des méthodes de frappe plus ciblées, mieux planifiées et méticuleusement exécutées. Ces attaques sont dorénavant plus précises, moins faciles à détecter et par conséquent plus difficiles à contrer. Il ne s’agit plus d’un produit de masse sorti d’une ligne d’assemblage, mais de malwares sur mesure conçus de manière artisanale. Des groupes d’opérateurs de ransomwares comme Ryuk, responsables d’un tiers des attaques par ransomwares l’année passée, en ont par conséquent profité pour refaire surface en infligeant des dégâts non négligeables aux établissements de santé.

Mettre en place un plan stratégique en 4 étapes pour lutter efficacement contre les menaces

Malgré la prise de conscience de l’importance des outils nécessaires à la prévention et à la mise en place d’une réponse aux incidents,  le budget accordé au numérique, dont celui de la cybersécurité, ne représentait que 1 à 2% du budget général des hôpitaux en 2018 selon l'atlas des systèmes d'information hospitaliers français. Ce manque d’investissement reste d’actualité aujourd’hui alors que de nombreux établissements de santé sont encore en attente de l’affectation des budgets en question. Comparativement, selon l'enquête européenne annuelle 2019 sur la santé en ligne, ce budget s’élevait à 4,3% en Espagne ou encore 4,9% aux Pays-Bas.

Les établissements de santé, désormais conscients de la cybermenace encourue, doivent faire preuve d’anticipation et se préparer à de potentielles attaques pour faire face à la montée en puissance des ransomwares. Pour ce faire, la mise en place d’un plan stratégique en 4 étapes est primordiale. Il s’agit en premier lieu d’identifier les points faibles du réseau. Exploitant des interfaces multiples d’administrations et disposant de moyens humains limités dédiés à la cybersécurité, cette première étape stratégique peut s’avérer plus périlleuse qu’elle n’y paraît pour les établissements de santé. Toutefois, avoir conscience de ses faiblesses en matière de cybersécurité aidera les équipes à identifier les éléments à renforcer en priorité.

Dans un second temps, il s’agit de former et de sensibiliser l’ensemble du personnel en encourageant le développement d’une culturecyber à l’échelle de l’établissement. À titre d’exemple, cela peut consister à sensibiliser l’ensemble des collaborateurs aux attaques de phishing tout en s’assurant de leurs capacités à les identifier et les contrer. Quel que soit l’angle de la formation choisie, elle représente un gain de temps non négligeable pour les équipes en charge de la cybersécurité.  

L’enjeu de la troisième étape réside dans la capacité à se munir des outils adaptés pour sécuriser le réseau. Ils doivent être multidimensionnels pour être en mesure de répondre aux différentes problématiques liées à la sécurité : gestion de la configuration, maintenance des périphériques et des applications métiers à destination des soignants, etc.  Autant d’enjeux à prioriser dans le choix de solutions pertinentes par les DSIs des centres hospitaliers. Enfin, face à l’agilité avec laquelle les hackers opèrent aujourd’hui, les établissements de santé doivent être en mesure de déployer une solution de réponse aux incidents extrêmement rapide de manière à sécuriser le réseau.

Bien qu’en cas de ransomware, le temps soit compté, ces attaques ne sont pas pour autant une fatalité. Il est possible de contrer ces menaces à condition que les établissements de santé et autres systèmes de soin soient en mesure de déployer le plus rapidement possible un ensemble de solutions de défenses de sécurité robustes qui soit capables de proposer une réponse rapide et proactive en cas d’incident externaliser la cybersécurité en faisant appel à des services managés de cyberdéfense qui assurent un suivi 24 /24, 7/7 des systèmes de sécurité est un choix avisé permettant aux professionnels de santé de se concentrer sur leur métier et leur mission.