Jenny Radcliffe de Human Factor Security s'est récemment entretenue avec Kate Mullin, Chief Information Security Officer (CISO) de Cancer Treatment Centers of America, pour discuter des dernières menaces auxquelles est confronté le secteur de la santé. À cette occasion, elles ont abordé toute une série de sujets, notamment les ransomwares, le modèle de travail hybride, les compétences nécessaires pour faire carrière dans le domaine de la cybersécurité aujourd'hui, etc.
Voici une synthèse des observations de Kate Mullin sur ces différents sujets :
Le secteur de la santé est dans la ligne de mire des cybercriminels
Ayant travaillé dans le secteur de la santé pendant de nombreuses années, je sais qu'il est dans le collimateur des cybercriminels. Mais la situation a changé ces dernières années. Il a fallu gérer les répercussions de la COVID-19 et la généralisation du modèle de travail hybride, ainsi que les pénuries de médicaments dues à la guerre en Ukraine, tout en continuant à assurer la continuité des soins des patients en oncologie.
Bien sûr, ces événements ont fortement perturbé notre travail, mais ce n'est pas le problème des cybercriminels. Les attaques de ransomwares visant le secteur de la santé se sont intensifiées. Or, leurs répercussions sont particulièrement graves, car elles impactent la capacité des patients à recevoir leur traitement anticancéreux. Ce qui est terrible, c'est que de nombreux patients n'auront pas la possibilité de reprendre leur traitement en cas d'interruption.
Même si le risque d'être victime d'une cyberattaque est très aléatoire, tous les établissements de santé doivent s'y préparer. C'est pourquoi je conseille à ces établissements de réaliser des simulations d'attaques de ransomware afin de déterminer ce qu'il est ou non possible de faire.
Certains croient encore qu'il suffit de payer la rançon pour obtenir la clé de déchiffrement, mais ce n'est pas toujours le cas. En consultant le rapport State of Phish de Proofpoint, vous constaterez que de nombreuses entreprises n'ont jamais récupéré l'accès à leurs données malgré le paiement de la rançon. De plus, le processus de déchiffrement peut être très long, parfois plus long que la restauration des systèmes.
Le modèle de travail hybride et le facteur humain
L'essor du travail hybride a multiplié et modifié les risques auxquels le secteur de la santé est exposé. Investir dans des technologies de modernisation pour « maisons intelligentes » ne suffit pas. Si vous n'utilisez pas de réseau privé virtuel (VPN) pour vous connecter, votre connexion ne sera pas sécurisée, et ce même si vos terminaux sont protégés.
La migration vers un modèle de travail hybride a montré que le facteur humain est le principal maillon faible des entreprises. Les individus font courir un risque énorme, que ce soit en raison d'erreurs, de la Grande Démission, de la rotation du personnel ou des retraites anticipées. Dans le secteur de la santé, ce risque est lié à la fois aux collaborateurs et aux patients, qui sont inévitablement visés par les cybercriminels. Tout le monde peut tomber dans le piège d'une attaque de phishing ciblée, même si le cybercriminel doit s'y prendre à plusieurs fois.
Se pose également le problème de la vie privée des patients. La sécurité des données médicales est prise très au sérieux et les collaborateurs reçoivent une formation de qualité en la matière. Il y a toutefois des domaines où nous tenons à faire preuve d'ouverture, et c'est là que se situe le problème. Le secteur de la santé a pour vocation de soigner et intègre à cet effet des systèmes destinés à améliorer les soins. Or, plus nous intégrons de systèmes, plus nous créons de failles et de domaines de compromission potentiels.
L'intérêt de compétences en cybersécurité pour tous
Toute personne qui touche à l'informatique se doit de disposer de compétences en matière de sécurité des informations. Or, tout le monde se retrouve tôt ou tard en contact avec l'informatique. C'est notamment le cas si vous téléchargez des applications sur votre téléphone, si vous avez des enfants, si vous télétravaillez, etc.
Avant la généralisation du travail hybride, on pouvait laisser son ordinateur branché et retrouver le système mis à jour le lendemain matin. À présent que le télétravail est devenu la norme, il est essentiel que les collaborateurs prennent pleinement conscience de l'importance de la cybersécurité.
Chaque collaborateur doit savoir comment appliquer un correctif, ce qu'est un VPN, pourquoi en utiliser un, etc. De notre côté, en tant que professionnels de la cybersécurité, nous devons nous appliquer à mieux transmettre ces connaissances essentielles.
Vous souhaitez en savoir plus ?
Écoutez le podcast CISO Voices pour retrouver l'intégralité de la conversation entre Jenny Radcliffe et Kate Mullin, ainsi que pour accéder à d'autres épisodes.
Les podcasts Human Factor Security de Jenny Radcliffe mettent en avant l'expérience d'autres experts en cybersécurité. Dans notre prochain article de blog CISO Voices, nous découvrirons le point de vue de Tom Wade, consultant RSSI.
Portail dédié aux RSSI de Proofpoint
Visitez notre Portail dédié aux RSSI pour accéder à des recherches, des informations et des ressources de cybersécurité mises à jour régulièrement et destinées à la communauté mondiale des RSSI.