Les pirates informatiques s'attaquent aux infrastructures essentielles de santé

Prix de l'essence qui flambe, la fermeture de supermarchés en Suède, d'écoles en Nouvelle-Zélande, ou encore de PME américaines : le monde entier a pu ressentir les conséquences des dernières cyberattaques contre les infrastructures critiques (KRITIS). D'abord Colonial Pipeline, puis JBS et Kaseya etc. des attaques qui ont mis à mal de nombreux secteurs notamment l'agroalimentaire ou encore l'énergie.

Cependant, ces attaques prennent une tout autre dimension lorsqu’elles touchent les hôpitaux et par conséquent à la sécurité et à l’intégrité des citoyens. La liste des établissements de santé touchés en France est malheureusement très longue (Dax, Villefranche-sur-Saône, etc.) et a mis en danger un nombre important de vies humaines alors que le secteur hospitalier faisait face à plusieurs vagues de l’épidémie de Covid-19.

L'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) a révélé qu'au total 27 centres hospitaliers avaient été ciblés en 2020. Alors que l'activité des pirates s'est largement accélérée en 2021, l'ANSSI dénombre d'ores et déjà une attaque par semaine. En moyenne, le secteur de la santé subit 187 millions d'attaques par mois dans le monde, ce qui correspond à environ 498 attaques par mois et par organisation.

La cybersécurité doit encore évoluer

Comme beaucoup d'autres secteurs, les hôpitaux ont dû numériser une grande partie de leurs processus notamment pour faire face à la crise. Toutefois, cet exercice ne faisait pas partie de leurs habitudes et les infrastructures sont souvent lourdes et peu agiles ; les hôpitaux sont davantage exposés aux attaques et doivent par conséquent prêter une attention toute particulière à leur sécurité. Bien qu’importante jusque-là, la cybersécurité est devenue un enjeu central dans le secteur de la santé, renforcé par l’officialisation de nouvelles directives exigeant un engagement plus important dans ce domaine.

Au moins jusqu’à fin 2021, les cliniques et les hôpitaux seront tenus de renforcer - et parfois de revoir complètement - leur sécurité informatique. Il ne s'agit pas seulement de faire face à la menace croissante des cyberattaques, mais également de respecter la conformité légale induite. L'État français a donc annoncé un important plan d'investissement pour renforcer la cybersécurité des hôpitaux et centres hospitaliers français : 350 millions d'euros seraient investis au travers du Ségur de la Santé. Après des vagues de cyberattaques sans précédents subies par nos centres hospitaliers, déjà largement sous tension du fait de la pandémie, la réaction gouvernementale se devait d'être à la hauteur.

Bien que le secteur de la santé figure parmi les plus réglementés (et les plus lents) quand il s’agit de déployer de nouvelles technologies, de nombreux workflows critiques dans les services de l'hôpital ont déjà été entièrement numérisés. Toutes les informations - des bons de commande aux radiographies - sont enregistrées numériquement par date. Il est donc important que les responsables informatiques aient une vue d'ensemble précise de l'endroit où sont stockées et conservées les données. Tout particulièrement pour le système hospitalier, cette vue d'ensemble importante fait souvent défaut car les données sont généralement dispersées dans une grande variété d'infrastructures et de silos de données, qui sont eux-mêmes sauvegardés avec leurs propres programmes isolés. Les solutions ponctuelles peuvent alors se chevaucher partiellement – ou au contraire favoriser l’apparition de « zones grises »,  qui ne sont généralement découvertes que lorsque les données ont été corrompues ou perdues.

Lutter contre les ransomwares

Il est essentiel de prendre en compte l’ensemble des données de l'hôpital, de la périphérie du réseau au cloud en passant par les datacenters, avec une solution de protection des données. Cela permet - entre autre - aux responsables IT d'avoir un aperçu complet des données de toute leur infrastructure informatique. De plus, il est possible de sauvegarder et restaurer toutes les données avec le même niveau de protection élevé, quel que soit le lieu, à moindre coût et sans effort.

Par ailleurs, grâce à la solution centrale de protection des données, la mise en œuvre d’un plan de sauvegarde efficace et automatisé maintient les applications importantes à un niveau de disponibilité élevé. En même temps, cela permet de crypter les données hautement sensibles au cours de leur parcours dans l'infrastructure de sauvegarde et sur les systèmes de sauvegarde eux-mêmes.

Force est de constater que cette approche permet d'identifier les symptômes d'une cyberattaque par ransomware. Lorsque le ransomware crypte les données, il surcharge le système et les données sont fortement corrompues. Tout cela déclenche deux effets du côté de la sauvegarde : d’un côté, le temps nécessaire à la sauvegarde est beaucoup plus long (6 heures au lieu de 2 heures) et de l’autre, la duplication des données est particulièrement lente. La déduplication compare les données de la sauvegarde avec les données de production au niveau du segment et ne sauvegarde que les modifications. Il est clair que les fichiers fortement cryptés diffèrent significativement de leur forme brute, donnant ainsi l’indication claire aux équipes IT que quelque chose se trame. Mais toute solution ponctuelle qui sécurise une charge de travail de manière isolée finit par affaiblir l'ensemble du système. Il est donc crucial que le système de sauvegarde prenne en charge de manière centralisée l’ensemble des charges de travail, des différents types de cloud, sources de stockage et de données.

Les techniques utilisées par les hackers deviennent de plus en plus sophistiquées et ciblées, tandis que la numérisation et le télétravail ouvrent de nouvelles portes dérobées sur l'infrastructure informatique. Le principe est simple : plus les données sont importantes et ont de la valeur, plus les cibles sont lucratives pour les cybercriminels. Malgré tous les efforts, on peut supposer que les attaques contre les hôpitaux vont être de plus en plus fréquentes.

Un système de sauvegarde robuste et central basé sur une infrastructure résiliente peut donc constituer une dernière ligne de défense fiable. Par ce biais, il permet la restauration fiable des données et une lutte plus efficace contre l’extorsion.