MFA résistante au phishing : cyber-bouclier dans le secteur de la santé
Alors que les cyberattaques deviennent de plus en plus sophistiquées, la sécurisation des données constitue encore un défi majeur pour les organismes de santé.
Comme le prouve la récente compromission de l’hôpital de Corbeil-Essonnes à la rentrée, le secteur reste l’une des cibles préférées des cybercriminels, notamment via des attaques par ransomware. Selon le rapport récemment publié par Sophos, le nombre d'attaques par ransomwares a augmenté de 94 % en 2021, avec 66 % des organisations touchées étant spécialisées dans la santé, contre 34 % l'année précédente. Ainsi, les établissements du secteur doivent renforcer leurs dispositifs de défenses et mettre en place une stratégie holistique, pour contrecarrer toute tentative d’intrusion.
Les organismes de santé, cible privilégiée des attaques par ransomware
Le secteur de la santé est doublement lucratif pour les hackeurs : ses budgets de fonctionnement importants et ses contrats d'assurances en font une cible financièrement rentable et, de surcroît, ses systèmes informatiques complexes et surannés le rendent plus vulnérables aux cyberattaques. Les cybercriminels savent également que les organisations sont presque toutes soumises à la nécessité de restaurer leurs activités rapidement pour assurer une continuité des services, et donc garantir la santé et la sécurité des patients. Ces obligations s’appliquent à l’ensemble de l’écosystème médical, que ce soit un hôpital, la supply chain ou encore les régimes d’assurance maladie.
Pour limiter les dégâts, les établissements de santé doivent se prémunir sans attendre contre la menace grandissante, et assurer la protection des données critiques. À la suite de la cyberattaque sur l’hôpital de Corbeil-Essonnes, une enveloppe de 20 millions d’euros supplémentaires avait notamment été débloquée afin d’accompagner les organismes du secteur dans le renforcement de leur cybersécurité. Aussi, une analyse de la Commission nationale de l’informatique et des libertés (CNIL) publiée le 14 novembre 2022 a récemment révélé des lacunes dans le droit national, en matière de traitement des informations de santé. Le régulateur français appelle ainsi à l’adoption d’une nouvelle loi, qui autoriserait « explicitement les professionnels de santé à transmettre aux organismes d’assurance maladie complémentaire des données couvertes par le secret médical et encadrant les modalités de cette transmission. » Cette législation permettrait de mieux encadrer les organismes de santé dans la gestion des données et de satisfaire les exigences relatives au secret médical.
Or, la réalité est que la majorité des hackers n’entre pas par effraction : ils se connectent. Plus précisément, les identifiants sont utilisés dans 61 % des cas de violations de données, selon le Verizon Data Breach report, avec 25 % d’entre elles, dues à des ransomwares. Par conséquent, les établissements de santé doivent ainsi déployer des solutions d’authentification garantissant aux utilisateurs une sécurité accrue des systèmes critiques et de leurs informations sensibles. Il est également essentiel de consolider la protection de leurs données critiques, et ainsi déjouer toute demande de rançon des cybercriminels. Pour ce faire, la conformité au RGPD (Règlement général sur la protection des données) et la mise en place d’appareils dotés d'une sécurité intégrée adéquate ou d’outils protégeant les informations stockées, sont primordiales.
Contrecarrer les cyberattaques grâce à l’authentification forte
Afin d’assurer une protection optimale contre les cyber-risques, bloquer les points d’accès les plus fréquemment utilisés par les hackers, à savoir les identifiants et le phishing, est fondamental. Leur dénominateur commun est l’utilisateur, qui en cas de non-respect des bonnes pratiques, combiné à une méthode d’authentification de base, telle que les mots de passe, permet souvent aux cyberattaquants d’entrouvrir la porte de l’organisation.
En outre, les efforts de mise en œuvre sont minimes par rapport aux impacts d'une attaque de type ransomware, en considérant les pertes de données et le travail de titan pour la remédiation. En matière de prévention, il existe une solution très simple : sécuriser l’accès des utilisateurs aux systèmes critiques via le déploiement d’une méthode d’authentification multifacteur (MFA) résistante au phishing, et qualifiée « forte ».
Cette MFA, déployée idéalement par l'utilisation d'une SmartCard ou d'une clé de sécurité FIDO2, permet aux organismes de santé de faire face aux tentatives de compromission d'identité et de contournement de l'authentification. Elle est en effet impossible à pirater à distance, car elle repose uniquement sur un dispositif physique débloqué grâce un code PIN unique, ou à une empreinte biométrique, pour se connecter à un compte. Par ailleurs, elle constitue une solution aux problèmes inhérents liés aux méthodes d'authentification obsolètes, telles qu'une expérience utilisateur peu satisfaisante ou des brèches en cas de partage de mot de passe. En effet, un outil qui réduit le temps d’identification, ou ses étapes, réduit notamment la cyber-fatigue des employés. Les organisations ont donc tout intérêt à prendre cet aspect en compte lors du déploiement de leur stratégie cyber, qui doit comprendre d’une part la sécurisation des données et qui d’autre part engendre un impact positif sur l’expérience utilisateur.
Les cybercriminels continuent de profiter des manquements en matière de sécurité dans le secteur de la santé, ce qui en fait une cible privilégiée pour les attaques par ransomware. Pour sécuriser leurs données critiques et contrecarrer toute demande criminelle, ces organisations doivent considérablement renforcer leur défense. La mise en place d’une MFA, résistante au phishing et facile à utiliser, permet notamment de bloquer les accès aux systèmes essentiels et de se défendre contre le vol d’identifiants. En intégrant cette solution dans leur stratégie cyber, les organismes de santé pourront efficacement contrer les cybermenaces qui planent sur le secteur.