Cybersécurité : les organismes de santé en urgence absolue

Des hôpitaux, des laboratoires, l'Institut Pasteur ou encore il y a quelques semaines seulement la Fondation santé des étudiants de France, qui gère 13 cliniques de soins non-urgents, ont subi des cyberattaques.

Depuis le début de la crise sanitaire, le secteur des soins de santé a connu une transformation digitale importante. Qu'il s'agisse du travail à distance, de l'adoption plus importante de l'e-santé, comme les téléconsultations ou encore la collaboration en ligne sur la recherche de vaccins, les organisations du secteur de la santé se sont transformées pour accompagner au mieux les patients.

En parallèle, elles se sont retrouvées au cœur d’une vague de cyberattaques. Des hôpitaux, des laboratoires, l’Institut Pasteur ou encore il y a quelques semaines seulement la Fondation santé des étudiants de France (FESF), qui gère 13 cliniques de soins non-urgents, ont ainsi subi des cyberattaques. "Vingt-sept cyberattaques d'hôpitaux en 2020, une par semaine depuis 2021", a déclaré en février le secrétaire d'Etat à la Transition numérique Cédric O.

Les cyber-maux qui touchent la santé

Les attaques de phishing, qui sont les principaux vecteurs de prise de contrôle de comptes réussie, peuvent avoir des conséquences préjudiciables. Les identifiants volés peuvent en effet servir aux cybercriminels pour diffuser des ransomwares et fournir un accès non autorisé aux systèmes et données de santé en ligne, tels que les dossiers des patients, les informations personnelles et les données de cartes bancaires. Toute prise de contrôle réussie d'un compte peut également entraîner la non-conformité aux réglementations du secteur.

Les menaces et les vulnérabilités courantes en matière de cybersécurité qui visent les organismes de santé peuvent conduire à des prises de contrôle de comptes si une authentification forte n'est pas déployée. Dans la plupart des cyberattaques ayant ciblé des établissements de soins au cours de ces derniers mois, les pirates informatiques ont privilégié les ransomwares. Les défenses contre les mécanismes de diffusion des charges utiles des logiciels malveillants courants se sont améliorées, avec notamment le filtrage des pièces jointes aux emails. Les cybercriminels se tournent donc de plus en plus vers le phishing et la prise de contrôle de comptes comme première étape d'attaques multi-phases. Ils utilisent des malwares, y compris des ransomwares, pour prendre le contrôle de dispositifs individuels, de serveurs ou même de réseaux entiers afin de voler des données ou des informations d'identification, retenues jusqu'à ce qu'une rançon soit payée ou que ces informations soient divulguées.

La sécurité zero-trust et l’authentification forte, cyber-vaccin contre les cyberattaques

Le secteur de la santé s’oriente vers un cadre de sécurité zero-trust, où rien n'est fiable à l'intérieur ou à l'extérieur du périmètre, et où toutes les connexions doivent être vérifiées avant d'accorder l'accès. Dans ce contexte, l'authentification devient un élément clé. La réalité du paysage actuel des menaces est qu'une authentification forte est devenue une nécessité pour satisfaire aux mesures de sécurité raisonnables et appropriées exigées par les différentes réglementations en vigueur. Toutefois, de nombreuses organisations utilisent encore des mécanismes d'authentification faibles, tels que le nom d'utilisateur et le mot de passe, ainsi que l'authentification par SMS ou email. D'autres utilisent des options plus sécurisées en interne, comme les cartes à puce avec des lecteurs NFC, mais qui ne répondent pas aux besoins de portabilité des collaborateurs de plus en plus mobiles et potentiellement exposés à l'extérieur.

L'authentification forte n’est pas encore une norme dans le secteur de la santé alors qu’elle permettrait d’empêcher les cybercriminels de parvenir à leurs fins. L’enjeu est de taille pour ces organismes dont l’activité et les données sont extrêmement sensibles, voire critiques. Il est aujourd’hui capital qu’il y ait une réelle sensibilisation des acteurs de ce secteur, avec une prise de conscience que des mesures concrètes et accessibles sont à leur portée pour lutter efficacement contre ces cybermenaces. Dans cette optique, l’authentification forte est un moyen de protection éprouvé. Elle ne repose à aucun moment sur un processus ou un protocole de secrets partagés, que ce soit les mots de passe, les OTP ou mot de passe à usage unique, les codes SMS et les questions de récupération. De plus, elle repousse de manière efficace les attaques de phishing et l'usurpation d'identité : L'authentification forte suppose que certaines attaques atteindront l'utilisateur final et que le mécanisme d'authentification empêchera l'attaque de réussir.

La pandémie de Covid-19 a accéléré la transformation numérique dans l'ensemble du secteur de la santé, en augmentant l'adoption de la télésanté, de l'assurance et des paiements en ligne, et de la recherche collaborative mondiale sur les vaccins. Elle a également mis en évidence les failles de sécurité dont profitent les cybercriminels et les États-nations. Les nombreuses attaques ont montré qu'une authentification forte, conçue spécialement pour la sécurité, résistante au phishing et empêchant les prises de contrôle de comptes, est une condition essentielle pour garantir la conformité et protéger les données sensibles des soins de santé. En planifiant l'avenir post-pandémie, les organismes de de ce secteur devraient envisager de mettre en œuvre l’authentification forte sans compromettre la sécurité ni l’expérience vécue par les patients.