Les cybercriminels ont pris pour cible les hôpitaux comme celui de Corbeil Essonnes dernièrement, parce qu’ils cristallisent de vastes enjeux et ne sont pas systématiquement bien protégés. Les ransomwares sont devenus le fléau majeur pour le secteur de la santé, les criminels innovent généralement plus vite que les organisations et échappent facilement aux contrôles de sécurité traditionnels. Raison pour laquelle le secteur de la santé doit préparer sa défense.
Pourquoi le secteur de la santé est-il une cible de choix ?
Tribune – L’hôpital du fait de sa nature dispose de nombreux points d’entrée : les équipes reçoivent énormément d’informations, cliquer sur un lien malveillant par inadvertance, dans l’urgence ou dans une situation stressante est un risque élevé. A l’instar de nombreuses organisations, le travail d’éducation du personnel hospitalier s’impose.
Les données sont également une raison d’acharnement des cybercriminels, comme dans le secteur bancaire, celui de la santé est une véritable mine d’or. Il s’agit principalement d’informations sur les patients (numéro de sécurité sociale, numéros de téléphone, résultats médicaux etc…) qui sont généralement revendues sur le DarkWeb lorsqu’elles ne sont pas utilisées pour demander une rançon aux organisations victimes. Dernier exemple phare, le piratage du site de l’Assurance Maladie qui s’est soldé par le vol de données personnelles d’un million de Français.
Enfin, le secteur de la santé n’est pas encore suffisamment « armé », le gouvernement vient de débloquer du budget pour sa protection. Il existe de nombreux systèmes difficiles à protéger : datés, ils se trouvent généralement sur un réseau à plat où tout communique ensemble et offre de multiples opportunités d’infiltration aux cybercriminels. De même, l’essor des objets et matériels médicaux connectés a pour conséquence d’augmenter la surface d’attaque, alors que les mesures de protection préventives n’ont souvent pas été prévues.
Protéger les établissements de santé de la menace ransomware
Un malware peut pénétrer dans un système de plusieurs façons ; souvent, l’erreur est humaine : une pièce jointe dans un e-mail, des liens d’hameçonnage, des sites Web infectés, etc. Une fois rentré dans le système, les cybercriminels n’attaquent pas immédiatement, ils observent, se déplacent latéralement pour chercher quels sont les autres systèmes exploitables et lancent le ransomware. En raison du caractère crucial des données et de l’urgence des soins, les cybercriminels sèment la panique et les établissements de santé payent les rançons pour être de nouveau opérationnels rapidement.
Il existe des mesures de prévention efficaces. Le déploiement d’un ransomware n’est que le résultat d’un long processus d’infiltration. Les établissements de santé doivent se perfectionner dans la détection des anomalies avant qu’elles n’aboutissent à des attaques ransomwares. Il est donc essentiel de pouvoir surveiller le réseau, le trafic est-ouest pour détecter et identifier le mouvement latéral suspect et l’arrêter. Il faut aussi repérer les appareils infectés et les isoler pour limiter la propagation.
Afin d’identifier les compromissions le plus tôt possible, il faut appliquer la stratégie du « savoir et sécuriser ». Il s’agit d’identifier les actifs du réseau, de comprendre comment les équipements communiquent, ce qu’ils font au quotidien pour être capable de sécuriser avec des outils adéquats. Cela offre ainsi une première ligne de défense solide qui permettra d’être alerté au plus tôt en cas d’intrusion.
Pour Yann Samama, ingénieur avant-ventes sénior chez Gigamon « La cybermenace n’a jamais été aussi pesante sur le secteur de la santé déjà sous pression, il est important de comprendre que des mesures de protection adaptées existent. Une stratégie complète associant éducation des équipes et observabilité avancée du réseau permettra la résilience du secteur, au service d’une continuité opérationnelle vitale. »