Cybersécurité : top 7 des vulnérabilités des établissements de santé

Les opportunités sont nombreuses pour les cybercriminels de s'infiltrer dans les systèmes de santé pour provoquer le chaos sur le réseau interne.

Aux yeux des cybercriminels, les données de santé protégées (PHI) que l’on confie aux prestataires de soins ont plus de valeur encore que les numéros de cartes bancaires. Pourquoi ? Parce que les dossiers médicaux regorgent d’informations sensibles et confidentielles, si bien que ces attaques sont hautement lucratives pour les cybercriminels qui vont facilement pouvoir monétiser les données à des fins de chantage, de fausse facturation, de fausses déclarations d’impôts pour obtenir des rabais, sans oublier l’obtention de médicaments sur ordonnance et d’équipements médicaux.  

Voici quelques chiffres révélateurs de la situation :

Des hôpitaux en France ont été visés par trois grandes attaques de ransomware.

Dans son rapport, The State of Ransomware 2021, BlackFog cite une attaque de ransomware en mars 2021 qui a paralysé les systèmes informatiques de l’hôpital Oloron-Sainte-Marie. Les agresseurs ont exigé une rançon de 50 000 dollars en bitcoin en échange du déchiffrement des données.

Un mois plus tôt, en février 2021, le gang Egregor a gravement perturbé le réseau du centre hospitalier Dax-Côte d’Argent. Le personnel a dû reprendre le papier et le stylo le temps que le réseau soit rétabli. Seuls les patients en urgence grave ont été admis pendant quelque temps. Une attaque comparable a visé un hôpital à Villefranche-sur-Saône, en février également.

En août 2022, des pirates informatiques ont demandé la somme extravagante de 10 millions de dollars pour débloquer les systèmes d’un hôpital en France. Tout le système informatique de l’hôpital de Corbeil-Essonnes avait été paralysé, laissant le personnel désemparé, avec peu de ressources et uniquement du papier et des stylos. Entre 2020 et 2021, les cyberattaques ciblant les hôpitaux ont augmenté de 70 % en France avec au moins 380 nouveaux cas recensés.

Une autre étude révèle que près des trois quarts (73 %) des entreprises françaises ont été visées par des attaques de ransomware en 2021. L’étude se basait sur les réponses données par 5 600 professionnels de l’informatique d’entreprises de taille moyenne dans 31 pays. À titre de comparaison, la moyenne des pays était 7 % inférieure, à 66 %.

Même si les employés français sont plutôt nombreux à être formés aux pratiques de cybersécurité, 27 % seulement de la population française adulte savaient ce que le mot « ransomware » signifie en 2021. Et 24 % seulement des entreprises françaises avaient souscrit une police de cyber assurance.

Cyber hygiène et 7 péchés capitaux à éviter absolument

Les opportunités sont nombreuses pour les cybercriminels de s’infiltrer dans les systèmes de santé pour provoquer le chaos sur le réseau interne. Voici sept erreurs à éviter par les établissements pour ne pas risquer de révéler les données d’un patient sous peine de s’exposer à des tentatives de fraude et à des amendes : 

1.      Budgets limités. Le manque de financement explique l’état des cyberdéfenses. Les organisations de la santé dépensent moins dans la technologie que d’autres secteurs. Plus de la moitié (53 %) investissent moins de 10 % de leur budget dans la technologie.  

2.      Effectifs informatiques insuffisants. Si le budget est serré, les équipes sont souvent trop réduites pour surveiller, prévenir les attaques et rétablir les opérations en cas de compromission. Les attaques de cybersécurité sont si nombreuses et complexes à présent que les établissements de santé préfèrent externaliser ces responsabilités à des professionnels de l’informatique davantage capables de protéger la confidentialité des dossiers des patients et de préserver la conformité aux réglementations en vigueur, de type Health Insurance Portability and Accountability Act (HIPAA). 

3.      Systèmes préexistants. Il n’est pas rare que d’anciens systèmes toujours en service coûtent trop cher à mettre à niveau et présentent de problèmes de compatibilité. Or l’absence de support du constructeur va souvent de pair avec l’absence des correctifs de sécurité. 

4.     L’Internet des objets médicaux (IoMT). Les appareils connectés à des plateformes cloud qui stockent et analysent les données des patients créent une forte vulnérabilité potentielle. Une étude IBM révèle qu’on compte entre 10 et 15 dispositifs connectés par lit de patient. Compromis, ils peuvent porter préjudice à la santé, à la sécurité et à la vie personnelle des patients et présentent également le risque d’exposer des segments entiers de la vie de ceux qui consomment ces services.  

5.      Architecture de sécurité fragmentée. Comme pour les appareils médicaux, les prestataires de soin ont généralement recours à plusieurs solutions de sécurité ponctuelles. Ces systèmes disparates font que les MSP peuvent peiner à identifier les conditions favorables à une attaque si bien qu’ils ne corrigent pas toujours les vulnérabilités avant que les cybercriminels aient accès à des données sensibles ou qu’ils déploient des ransomwares.  

6.      Scams de phishing. Le facteur humain est le point d’entrée le plus fréquent pour les cybercriminels. Les professionnels de santé doivent veiller tout particulièrement à former leurs employés aux risques liés aux e-mails et aux sites web. Le Département de la santé américain (The U.S. Department of Health and Human Services (HHS)) enquête actuellement sur des centaines de cas de phishing et de scams de piratage.  

7.     Ransomware. Les hôpitaux sont des cibles privilégiées car il est très probable que les administrateurs voudront payer la rançon.

Rappel des meilleures pratiques de cybersécurité 

Comme pour la santé physique, les entités de l’écosystème de santé mondial ont grandement intérêt à s’entraîner régulièrement. Pour améliorer la posture de cybersécurité du secteur de la santé, le HHS encourage les établissements à procéder à des analyses de risque à grande échelle et à adopter plusieurs bonnes pratiques avérées, dont des contrôles continus des vulnérabilités de tous les systèmes et appareils.  

Chaque établissement doit donner la priorité aux contrôles de sécurité, basiques et avancés.  Les sondés dans le cadre d’une étude AT&T sur la cybersécurité dans le secteur de la santé ont cité parmi les contrôles de sécurité les plus efficaces et rentables : la détection d’intrusion et de menace, l’authentification multifactorielle, le chiffrement des données au repos, ainsi que la surveillance des terminaux et des dispositifs. Les MSP peuvent apporter leur aide dans chacune de ces disciplines. 

Les prestataires de santé doivent investir continuellement dans l’infrastructure informatique pour protéger les informations personnelles des patients et garantir la conformité à l’ensemble des obligations réglementaires. Les MSP peuvent réellement changer la donne en étant capables d’identifier et de corriger les faiblesses des systèmes pour renforcer la posture de sécurité de leurs clients. Pour ce qui est de la cybersécurité, mieux vaut toujours être proactif que réactif.