Alors que l’hôpital de Corbeil-Essonnes, en banlieue parisienne, est la cible d’une attaque informatique depuis la semaine passée, tour d’horizon des cybermenaces qui frappent ce secteur.
L’analyse de Benoit Grunemwald, Expert en Cybersécurité chez ESET France.
En matière de cybersécurité, les soins de santé sont un domaine où les enjeux ne pourraient pas être plus élevés. Les menaces numériques qui pèsent sur ce secteur et, sur l’ensemble des infrastructures critiques, s’intensifient depuis des années. Et l’invasion de l’Ukraine par la Russie a encore accru le niveau de menace. L’agence de cybersécurité européenne, l’ENISA, a signalé il y a quelques mois que les attaques contre le secteur avaient augmenté de près de 50% en glissement annuel en 2020.
Il y a bien plus que de l’argent en jeu : une étude de 2019 a affirmé que même les violations de données peuvent augmenter le taux de mortalité à 30 jours des victimes de crises cardiaques. Mais en renforçant la cyber-résilience par une meilleure hygiène informatique, de bonnes pratiques et en améliorant la détection et la réponse aux incidents, il existe une voie à suivre pour le secteur.
Pourquoi les soins de santé sont-ils vulnérables aux cyberattaques ?
Comme toutes les entreprises, en tant qu’entités connectées, les établissements de santé sont devenus la cible courante des cyberattaques. Outre leur infrastructure bureautique, les scanners, IRM, appareils biomédicaux et autres objets connectés représentent autant de points à surveiller et à protéger contre les risques d’attaques. Et comme de nombreuses entreprises et collectivités, les établissements de santé n’ont ni les ressources, ni les compétences nécessaires pour pouvoir réagir face à l’augmentation et la détermination des attaquants. Le secteur doit actuellement faire face aux défis suivants :
- La pénurie de main d’œuvre qualifiée, qui touche l’ensemble du secteur, mais les hôpitaux ne peuvent souvent pas rivaliser avec les salaires plus élevés offerts dans d’autres secteurs.
- La pandémie, qui a mis une pression sans précédent sur le personnel, y compris les équipes de sécurité informatique.
- Une infrastructure informatique à renouveler continuellement.
- De vastes quantités de données personnelles et une lourde charge pour répondre aux exigences réglementaires.
- L’adoption du maintien des données dans le cloud, qui peut augmenter la surface d’attaque. De nombreux organismes ne disposent pas des compétences internes nécessaires pour configurer ces environnements en toute sécurité.
- Les appareils connectés, qui comprennent des appareils de technologie opérationnelle (OT) dans les hôpitaux. Avec la connectivité vient le risque d’attaques à distance.
- Professionnalisation des cybercriminels qui voient de plus en plus ces organisations comme des cibles faciles. Les données des patients, qui peuvent inclure des informations très sensibles et des détails financiers, sont une marchandise lucrative dans les milieux de la cybercriminalité.
Que faire contre ces cybermenaces ?
La question est de savoir quelles solutions adopter quand on sait que ses ressources matérielles et humaines ne sont pas illimitées et que le risque zéro n'existe pas. L’empilage de solutions ne sert à rien, si celles-ci ne sont pas bien paramétrées ou mal supervisées.
Une discipline appelée Cyber Threat Intelligence (CTI) permet de mieux connaître ses attaquants, voire d'anticiper les attaques qui pourraient viser tel type d’activité en fonction de ses caractéristiques, de sa maturité cyber et de son niveau d'équipement. La CTI prend en compte ces contraintes pour construire une stratégie de cyberdéfense personnalisée.
Il va de soi que l’adoption du cloud facilite la vie des administrateurs qui peuvent ainsi faire appel à des forces externes pour garantir un niveau de fonctionnement et de sécurité qui va bien au-delà de ce qui serait nécessaire. Car, toute cyberdéfense implique une mise à jour constante, aussi bien des éléments de recherche de la menace, que des infrastructures. Il y a 30 ans, du temps de l'antivirus, on travaillait beaucoup avec les bases de signature que l’on mettait à jour régulièrement. Aujourd’hui, on travaille surtout avec des algorithmes à la fois sur les machines en local, et surtout avec la puissance du cloud qui en permet la pleine exploitation. Le cloud apporte la souplesse et la réactivité nécessaires pour lutter contre des cybermenaces en permanente innovation.
Le MDR, pour une couverture de sécurité optimale ?
La détection et la réponse managée (MDR, Managed Detection and Response) représente l’un des meilleurs services de cybersécurité possible. Son premier intérêt, c’est qu’il intègre le Threat Monitoring, c’est-à-dire une surveillance de l'activité pour la recherche de menaces. Mais il arrive parfois que, malgré cette surveillance, les cybercriminels arrivent à pénétrer dans le réseau. Heureusement, grâce à ses capacités de Threat Hunting, le MDR analyse régulièrement les systèmes pour s'assurer qu'il n'y a pas d'intrusions dormantes ou cachées qui pourraient se réveiller un vendredi soir.
En effet, il est essentiel d’opter pour un service en 24/7, parce que les cybercriminels attaquent la veille ou le week-end, quand les équipes s'octroient un repos bien mérité. C'est généralement à ce moment-là que commencent les attaques et ce service est justement là pour surveiller, détecter et donner l'alerte s’il identifie les prémices d'une attaque. Mais l'objectif premier du MDR reste vraiment l'anticipation. Plus on détecte vite, plus on peut y remédier, éviter la propagation, et éradiquer la menace.