Avant même l'invasion de l'Ukraine par la Russie, la crainte était grande que l'escalade militaire ne se propage (encore) dans le cyberespace et ne soit suivie d'une série d'attaques numériques percutantes ayant des répercussions internationales. Les organisations du monde entier ont donc été invitées à resserrer les boulons de la cybersécurité, à se préparer et à réagir à des cyberattaques très perturbatrices, qu'elles soient intentionnelles ou accidentelles.
Les soins de santé sont un secteur où les enjeux ne pourraient être plus élevés. Les menaces numériques qui pèsent sur ce secteur et, en fait, sur l'ensemble des infrastructures critiques, s'intensifient depuis des années, et l'invasion de l'Ukraine par la Russie a encore accru le niveau de menace. En réponse à cette situation, le ministère américain de la santé et des services sociaux, par exemple, a émis une alerte pour le secteur, désignant HermeticWiper, un nouveau logiciel d'effacement de données découvert par les chercheurs d'ESET, comme un exemple de risque aigu.
De toute évidence, les hôpitaux et autres prestataires de soins de santé en Europe doivent également être conscients des risques, car ils ont été une cible de plus en plus populaire pour les mauvais acteurs ces dernières années. L'agence de cybersécurité de l'UE, l'ENISA, a signalé il y a quelques mois que les attaques contre le secteur avaient augmenté de près de 50 % en glissement annuel en 2020.
Il y a bien plus que de l'argent en jeu : une étude de 2019 a affirmé que même les violations de données peuvent augmenter le taux de mortalité à 30 jours des victimes de crises cardiaques. En effet, si une infâme attaque de rançongiciels en Allemagne n'aurait pas directement causé la mort d'un patient, il a été l'un des puissants signes avant-coureurs de l'impact potentiel dans le monde réel des attaques virtuelles, lorsque des systèmes vitaux sont mis hors ligne.
Ces risques ne feront qu'augmenter à mesure que les organismes de santé européens (HCO) continueront à se numériser pour répondre aux pressions du COVID-19, d'un personnel de plus en plus éloigné et du vieillissement de la population. Mais en renforçant la cyber-résilience par une meilleure hygiène informatique et d'autres bonnes pratiques, et en améliorant la détection et la réponse aux incidents, il existe une voie à suivre pour le secteur.
Pourquoi les soins de santé sont vulnérables aux cyberattaques
Le secteur de la santé représente un segment important des infrastructures nationales critiques (INC) en Europe. Selon les estimations les plus récentes, il emploie près de 15 millions de personnes, soit 7 % de la population active. Les soins de santé sont également uniques par l'ampleur des défis auxquels ils sont confrontés, ce qui les rend sans doute plus exposés aux cybermenaces que d'autres secteurs. Ces défis sont notamment les suivants
- La pénurie de main d’œuvre qualifiée en informatique, qui touche l'ensemble du secteur, mais les HCO ne peuvent souvent pas rivaliser avec les salaires plus élevés offerts dans d'autres secteurs.
- La pandémie de Covid-19, qui a mis une pression sans précédent sur le personnel, y compris les équipes de sécurité informatique.
- Le travail à distance, qui peut exposer les organisations de santé aux risques présentés par les travailleurs distraits, les points de terminaison non sécurisés et l'infrastructure d'accès à distance vulnérable ou mal configurée.
- Une infrastructure informatique vieillissante.
- De vastes quantités de données personnelles et une lourde charge pour répondre aux exigences réglementaires.
- Une prolifération d'outils, qui peut submerger d'alertes les équipes de réponse aux menaces.
- L'adoption du maintien des données dans le cloud, qui peut augmenter la surface d'attaque. De nombreux organismes de santé publique ne disposent pas des compétences internes nécessaires pour gérer et configurer ces environnements en toute sécurité, ou comprennent mal leur responsabilité partagée en matière de sécurité.
- La complexité des systèmes informatiques adoptés sur une longue période.
- Les appareils connectés, qui comprennent de nombreux appareils de technologie opérationnelle (OT) dans les hôpitaux, tels que les scanners IRM et les appareils de radiographie. Avec la connectivité vient le risque d'attaques à distance, et beaucoup de ces appareils sont trop critiques pour être mis hors ligne afin d'appliquer des correctifs, ou bien leur date limite de support est dépassée.
- Les dispositifs connectés appartenant à l’Internet des Objets, qui sont de plus en plus populaires pour des choses comme la distribution de médicaments et la surveillance des signes vitaux des patients. Beaucoup d'entre eux ne sont pas patchés et ne sont protégés que par leurs mots de passe par défaut, ce qui les expose à des attaques.
- Les cybercriminels professionnels qui voient de plus en plus ces organisations comme des cibles faciles, alors qu’elles doivent faire face avec un nombre élevé de patients atteints de la COVID-19. Les données des patients, qui peuvent inclure des informations très sensibles et des détails financiers, sont une marchandise lucrative dans les milieux de la cybercriminalité. Et les rançongiciels sont plus susceptibles de forcer un paiement, car les hôpitaux ne peuvent pas se permettre d'être hors ligne pendant longtemps. Les hôpitaux de recherche peuvent également stocker des données IP très sensibles sur les traitements à venir.
Des attaques réelles et les enseignements à en tirer
Au fil des ans, nous avons assisté à de multiples attaques graves contre des HCO, qui offrent au secteur la possibilité d'apprendre et d'améliorer sa résilience à l'avenir. En voici quelques exemples :
Le National Health Service (NHS) du Royaume-Uni a été durement touché par le ver rançongiciel WannaCry en 2017 après que les organisations de santé n'aient pas réussi à corriger rapidement une vulnérabilité de Windows. On estime que 19 000 rendez-vous et opérations ont été annulés. Le coût total a représenté 92 millions de livres au service de santé en heures supplémentaires informatiques (72 millions de livres) et en perte de production (19 millions de livres).
Le Health Service Executive (HSE) d'Irlande a été frappé en 2021 par le groupe de rançongiciels Conti, après qu'un employé a ouvert un document Excel piégé dans un courriel de tentative d’hameçonnage. Les attaquants ont pu passer inaperçus pendant plus de huit semaines avant de déployer le rançongiciel. Voici quelques-unes des leçons apprises :
- Un logiciel antivirus réglé en le mode « surveillance », ce qui signifie qu'il ne bloquait pas les fichiers malveillants.
- Une absence d'action rapide après la détection d'une activité malveillante sur un contrôleur de domaine Microsoft Windows.
- Le logiciel antivirus n'a pas mis en quarantaine les fichiers malveillants après avoir détecté Cobalt Strike, un outil couramment utilisé par les groupes de rançongiciels.
- L'équipe chargée des opérations de sécurité (SecOps) du HSE a conseillé de redémarrer le serveur lorsqu'elle a été contactée au sujet de menaces généralisées dans plusieurs hôpitaux.
Les attaques de rançongiciels contre les hôpitaux français de Dax et de Villefranche-sur-Saone ont contraint les patients à être dirigés vers d'autres établissements au plus fort de la crise du COVID-19. Les systèmes téléphoniques et informatiques ont été mis hors service, et les cliniciens ont utilisé des crayons et du papier pour tenir leurs dossiers. Fait inhabituel, l'ANSSI a établi un lien entre les attaques et les services de renseignement russes, ce qui pourrait être le signe d'un échange accru d'outils et de techniques entre la cybercriminalité clandestine et les acteurs étatiques.
Intégrer la cyber-résilience dans les soins de santé
Face à la pression croissante, les organismes de santé doivent trouver un moyen d'atténuer les cyberrisques de manière plus efficace, sans se ruiner ni nuire à la productivité de leur personnel. La bonne nouvelle, c'est que bon nombre des meilleures pratiques qui permettent de renforcer la résilience dans d'autres secteurs de la CNI sont applicables ici. En voici quelques-unes :
- Obtenez une visibilité de la surface d'attaque, y compris de tous les actifs informatiques, de l'état de leurs correctifs et de leur configuration. Une CMDB régulièrement mise à jour est utile ici pour cataloguer l'inventaire.
- Assurez-vous que ces actifs sont correctement configurés et corrigés via des programmes continus de gestion des correctifs basés sur les risques.
- Comprenez l'impact du risque de la chaîne d'approvisionnement par des audits et un suivi réguliers.
- Créez une première ligne de défense solide contre le hameçonnage en améliorant la formation de sensibilisation des utilisateurs.
- Abordez la gestion des identités et des accès en adoptant une authentification multifactorielle (MFA) partout et une approche du moindre privilège en matière d'accès.
- Envisagez de développer ce qui précède avec une approche Zéro Trust.
- Collectez et analysez la télémétrie des outils de sécurité dans l'ensemble de l'environnement pour une détection et une réponse rapides aux incidents.
Les organisations médicales européens ont des obligations de conformité non seulement à la directive européenne sur la sécurité des réseaux et de l'information (NIS) pour la continuité du service, mais aussi au RGPD (pour la protection des données), ainsi qu'à toutes les lois et réglementations locales. L'ENISA souhaite que des équipes de réponse aux incidents de sécurité informatique (CSIRT) dédiées aux soins de santé soient mises en place dans chaque État membre. D’ici là, les organismes de santé doivent se débrouiller seuls. Sans une base informatique sécurisée sur laquelle s'appuyer, les services de santé de la région seront toujours à la merci de forces malveillantes.