Comment le secteur de la santé peut se protéger contre la cybercriminalité

Ransomwares, cyber-attaques et autres emails frauduleux s'immiscent de le secteur ultra-sensible de la santé. Voici quelques conseils à appliquer pour s'en prévenir.

Le secteur de la santé est en état de siège. Des cyber-attaques exposent des informations de santé personnelles, des ransomwares perturbent les services de santé les plus fondamentaux et obligent à fermer l'accès aux urgences.

Le personnel médical, les patients et les partenaires commerciaux sont tous de plus en plus ciblés par ces attaques en raison de la valeur intrinsèque des dossiers de santé et de la vulnérabilité de ce secteur face aux attaques malveillantes. L'ampleur et la complexité de la chaîne logistique de ce secteur ouvrent d'immenses failles dont profitent les criminels pour envoyer des emails de phishing et ainsi perturber le fonctionnement des établissements et dérober des données importantes. Si l'on ajoute à cela les techniques exceptionnellement sophistiquées utilisées par les pirates informatiques, leur ingéniosité à profiter de la curiosité naturelle du personnel de santé, ainsi que de leur empathie, et les contraintes de temps extrêmes, tous les éléments d’un désastre sont réunis

Le rapport 2018 de Proofpoint sur les attaques dans le secteur de la santé révèle que pas moins de 40 millions d'attaques ont été menées contre des hôpitaux, des cliniques et des assureurs santé au cours du troisième trimestre 2017, ce qui témoigne de l'ampleur de la menace dans ce secteur. Une défense efficace contre la cybercriminalité commence par une meilleure compréhension des menaces actuelles. Il est indispensable de sensibiliser aux questions de sécurité non seulement les équipes de sécurité, mais aussi les employés. Le vieil adage selon lequel "il vaut mieux prévenir que guérir" est toujours d'actualité. 

L'envolée du ransomware

De nombreux établissements de santé ont fait la douloureuse expérience du ransomware l'an dernier lors de l'attaque WannaCry qui a fait 200 000 victimes dans plus de 99 pays. Au vu des dégâts causés par l'attaque, il n'est pas surprenant d'apprendre que le développement des ransomwares s'est accéléré, passant de 4 millions d'attaques au deuxième trimestre 2017 à plus de 17 millions d'attaques au trimestre suivant. Cette nette augmentation de l'activité positionne le ransomware comme la principale menace, et de loin, dans ce secteur pour l'année 2017.

 

Les ransomwares peuvent infecter des systèmes entiers, après un simple clic sur une adresse URL malveillante ou après le téléchargement d'une pièce jointe d'apparence parfaitement inoffensive. Une seule erreur commise par un employé débordé peut transformer une journée normale en un incident de cybersécurité qui va tout paralyser. Les ransomwares sont particulièrement dévastateurs pour tous les acteurs du secteur de la santé car leur impact est instantané, entraînant le blocage de systèmes vitaux pour les soins aux patients et empêchant la continuité du fonctionnement des établissements. Malheureusement, la nécessité pour ces établissements de revenir rapidement à la normale les rend plus enclins à céder aux demandes de rançon des criminels et ces paiements pèsent lourd sur leur budget déjà serré. Des mesures de prévention efficaces peuvent aider à empêcher cette situation.

Déferlement d'usurpations 

L'une des techniques les plus efficaces parmi l'arsenal des pirates informatiques est de faire passer des courriels malveillants pour des courriels provenant d'une source fiable. Les courriels frauduleux utilisent des méthodes de manipulation sociale pour amener les victimes à effectuer des virements, à transmettre des données sensibles ou à divulguer des identifiants. Ces attaques sont extrêmement performantes car elles visent des personnes qui manquent de temps mais qui tentent néanmoins de satisfaire les demandes le plus rapidement et le plus efficacement possible.

 

L'étude menée par Proofpoint révèle qu'en 2017, un email sur cinq prétendant émaner d'un établissement de santé était en réalité frauduleux. De surcroît, sur trois milliards d’emails examinés et censés utiliser le nom de domaine d’un acteur connu du secteur de la santé, environ 8,3% provenaient finalement de sources non autorisées ou malveillantes. Ce ratio peut sembler faible, mais il s'agit tout de même de 262 millions d’emails semblant émaner d'un domaine de confiance et exigeant d'autres indicateurs pour déclencher une alerte. Les employés du secteur de la santé étant toujours pressés, leur comportement doit être conditionné de sorte qu'ils puissent identifier les emails d'hameçonnage sur la base d'un certain nombre de facteurs, par ex. en contrôlant que les URL et les pièces jointes sont fiables, sans se contenter de vérifier l'expéditeur. Des outils efficaces d'authentification, de renseignement sur les menaces et de formation à la cybersécurité peuvent contribuer à empêcher les attaques par hameçonnage d'atteindre leur but.

Mieux vaut prévenir que guérir

On l'observe à chaque fois, le facteur humain est le maillon faible de la sécurité au sein d'un établissement. Qu'elles soient de faible ou de grande envergure, presque toutes les cyberattaques débutent de la même manière, en ciblant une personne avec un email. La cybersécurité, tout comme les soins, est une affaire de personnes.

La priorité pour les établissements de santé doit être d'améliorer leur défense face aux menaces modernes et de modifier leurs contrôles de sécurité pour s'adapter aux méthodes de travail actuelles. Lorsque les établissements décident de renforcer leurs défenses en matière de cybersécurité, ils doivent donc s'intéresser aussi bien à la technologie qu'aux individus afin d'élaborer une stratégie à plusieurs niveaux dans laquelle les employés seront la dernière ligne de défense.

 

Il convient de noter que le secteur de la santé s'est révélé relativement proactif dans la mise en œuvre de formations de sensibilisation à la sécurité. Dans une récente étude menée par HIMSS auprès de fournisseurs de services IT pour la santé, 73,5% des personnes interrogées ont déclaré organiser des formations de sensibilisation à la sécurité pour les utilisateurs finaux. Il est néanmoins troublant de noter que la moitié de ces établissements se contentent d'une formation par an. Au regard de la vitesse à laquelle les menaces évoluent, cette fréquence peut être suffisante pour se conformer aux exigences réglementaires, mais inadéquate pour consolider les connaissances en la matière. La priorité doit être donnée à une formation de sensibilisation continue chez les personnes les plus ciblées au sein de l'établissement.

Se préparer   

Hormis le secteur de la santé, il existe peu d'autres secteurs dans lesquels les cyberattaques peuvent constituer une menace aussi directe pour la vie. Les établissements de santé ont l'obligation de soigner. Or, nous vivons à une époque dans laquelle une attaque peut, si elle est réussie, bloquer des systèmes et des services vitaux pendant des heures, voire des jours ou même des semaines. L'engagement auprès des patients consiste aussi à mettre en place une stratégie de cybersécurité solide pour empêcher de tels dysfonctionnements. Pour ce faire, voici quelques recommandations :

 

Entraînez vos employés à repérer les attaques dont ils sont la cible. Votre formation de sensibilisation à la sécurité doit prévoir des simulations de phishing utilisant des techniques réelles et doit vous permettre d'identifier les personnes et les départements les plus à risque. Par ailleurs, les membres du personnel doivent apprendre à reconnaître les attaques lancées dans des emails, des applications sur le cloud, des applications mobiles et dans les médias sociaux.

 

Réalisez une analyse avancée des menaces capable d’apprendre et de s'adapter aux menaces à mesure qu'elles évoluent. À l'heure actuelle, les attaques évoluent rapidement et sont centrées sur l'individu. En tant que telles, elles résistent aux défenses traditionnelles basées sur la signature et la réputation. Assurez-vous de pouvoir évoluer et vous adapter aussi rapidement que les pirates informatiques.

 

Sécurisez le canal du courrier électronique, qui est le vecteur d'attaque favori des cybercriminels. Déployez des protocoles d'authentification des courriels, tels que DMARC, et des défenses contre les domaines ressemblants. Ces technologies bloquent un grand nombre des attaques utilisant votre marque pour duper les employés, les partenaires, les distributeurs et les clients.

 

Améliorez la visibilité des applications sur le cloud, des services et des add-ons utilisés par vos employés. Déployez des outils vous permettant de détecter les fichiers et le contenu dangereux, les vols d'identifiants, les pertes de données, l'accès aux données par des tiers et les abus commis avec des applications de script sur le cloud.