Ransomware : 5 recommandations pour une meilleure protection des établissements de santé
Le secteur de la santé est aujourd’hui une cible de choix pour les cybercriminels. A tel point qu’il figure parmi les 5 principaux domaines d’activité les plus ciblés, comme le souligne dans cette tribune Drex DeFord, Executive Healthcare Strategist chez CrowdStrike.
La montée en puissance des activités cybercriminelles est une inquiétude récurrente depuis maintenant plusieurs années. Cette situation se trouve exacerbée par l’apparition du modèle RaaS – le ransomware en tant que service – ou les cybercriminels n’ont désormais plus besoin de maîtriser un savoir-faire technologique pour mettre en œuvre leurs activités illégales.
Il leur suffit de passer commande pour des services de ransomware et ainsi avoir accès à une variété de nouveaux revenus. De juteux business models s'ouvrent ainsi à eux dans le sillage du RaaS. Dans ce modèle d'affiliation, les opérateurs perçoivent un pourcentage fixe sur le montant de la rançon extorquée. Il s’agit clairement d’un mode opératoire lucratif compte tenu de l'augmentation régulière des attaques menées avec ce type de ransomware à double extorsion.
Des modèles RaaS lucratifs qui encouragent les cyberattaques
Les adversaires exigent non seulement une rançon pour décrypter les données volées, mais ils demandent également une somme supplémentaire pour renoncer à partager ou à vendre les données en leur possession. Les données médicales sont particulièrement prisées sur le dark web et sont souvent utilisées à des fins criminelles telles que l'usurpation d'identité, la fraude médicale ou fiscale. Les données gérées par les systèmes de santé offrent pratiquement toutes les informations nécessaires à un cybercriminel pour établir le profil numérique d'un patient.
La valeur d’un tel ensemble de données, qui comporte généralement la date et le lieu de naissance, le numéro de Sécurité Sociale, l’adresse postale et l’adresse e-mail et, dans certains cas, les données bancaires de la carte de crédit, peut facilement atteindre 1 000 euros.
La santé, un secteur à risque
Pour s’approprier ces précieuses données, les adversaires doivent d’abord accéder au réseau de la victime. Pour y parvenir, ils peuvent exploiter des vulnérabilités ou utiliser des identifiants et autres références personnelles. Il arrive également assez souvent qu’ils utilisent les services proposés par des access brokers qui commercialisent l’accès au réseau convoité. Les cybercriminels peuvent alors exploiter la panoplie d’outils RaaS pour mener leur attaque, incluant une demande de rançon.
Selon le dernier rapport Global Threat Report, la popularité des services qu’offrent les access brokers a très sensiblement augmenté en 2022, avec plus de 2 500 petites annonces répertoriées, soit une hausse de 112 % par rapport à l’année précédente. Dès lors que les cybercriminels ont accès à un réseau, il leur faut en moyenne 1h24 mn pour procéder à des déplacements latéraux ( ou lateral movements) à partir du point d’accès initial. Les cybercriminels savent pertinemment que les budgets alloués à l’IT et à la sécurité dans le secteur de la santé demeurent limités, que ce soit en France ou dans le monde. A cette contrainte budgétaire pénalisante s’ajoutent des ressources humaines tout aussi insuffisantes. Chaque cyberattaque impacte alors sévèrement le bon fonctionnement du système de santé et sa capacité à assurer les soins aux patients.
Si l’on considère ces différents facteurs du point de vue de l’extorsion, la propension à accepter le paiement d’une rançon, pour des établissements de santé qui ont pour mission première de sauver des vies, est donc sensiblement supérieure à ce qui peut advenir dans d’autres secteurs. Ces différents facteurs, qui s’inscrivent dans le cadre de budgets d’investissement limités en termes de personnel et de technologie, se traduisent par ce que l’on nomme – une cible facile (ou soft target ). De plus, le fait que les attaques soient plus sophistiquées les unes que les autres rendent le secteur de la santé encore plus vulnérable.
Afin de minimiser la gravité et la fréquence des attaques auxquelles ils sont exposés, les organismes de santé doivent donc être capables de réduire le nombre de vecteurs exploités pour accéder à leurs systèmes informatiques. Différentes mesures peuvent être mises en œuvre pour assurer leur protection.
1. Protection intégrale des workloads
La sécurité des endpoints et des workloads, la protection des données et des identités sont seulement quelques-uns des aspects critiques à prendre en compte pour assurer la sécurité des établissements de santé face aux hackers. La XDR (Extended Detection and Response) constitue la prochaine étape en termes de prévention et de sécurité. Cette approche holistique permet de rationaliser la collecte et l’analyse des données de sécurité, avec les workflows correspondants, dans l’ensemble de la solution de sécurité mise en œuvre par l’établissement. Il s’agit ici de bénéficier d’une meilleure visibilité de la situation générale et d’unifier la réponse pour mieux contrer les menaces dissimulées et sophistiquées. La XDR assure la corrélation entre les données et les endpoints, les workloads cloud, les réseaux et les courriels, et procède à leur analyse et à leur priorisation. L’ensemble du processus est fourni aux équipes de sécurité dans un format normalisé, à partir d’une console centralisée.
2. Adoption d’une approche Zero Trust
Selon le Global Threat Report 2023 de CrowdStrike qui répertorie les différentes menaces, le secteur de la santé est l'un des 10 domaines d'activité les plus touchés par les access brokers. En 2021, près de 80 % des attaques étaient basées sur des éléments d’identité pour compromettre des données d’identification légitimes, en utilisant des techniques telles que le déplacement latéral pour échapper à une détection précoce. Ainsi, pour prévenir en temps réel ce type de modus operandi basé sur la prise de contrôle de l'identité, l'adoption d'une approche Zero Trust devrait également être mise en œuvre dans le secteur de la santé.
3. Protection proactive : Threat Hunting et Threat Intelligence
Les données relatives aux menaces aident les organismes de santé à préparer une défense appropriée contre les attaques les plus dominantes et permettent aux threat hunters de déceler les signes d’une intrusion et d’en expulser les auteurs hors du réseau. Les équipes en charge de la sécurité IT peuvent dès lors être déployées avec efficacité. Dans de nombreux cas, il est également recommandé de faire appel à des services de cybersécurité extérieurs entièrement managés. Ces services non seulement fournissent des renseignements sur les menaces, mais peuvent également apporter des réponses adaptées en termes d'incidents, de récupération des endpoints et de surveillance proactive pour combler les failles qui affectent la sécurité.
4. Apprentissage machine et intelligence artificielle
Les établissements de santé doivent être conscients que les adversaires perfectionnent constamment leurs techniques d'attaque. Pour cette raison, il est crucial qu'ils continuent à développer leurs capacités de protection. Les attaques modernes ne peuvent plus être traitées avec des technologies obsolètes, telles que les logiciels antivirus basés sur la reconnaissance de signatures. Aujourd'hui, les techniques de machine learning et l'intelligence artificielle sont devenues des standards pour tout organisme soucieux d'assurer sa défense. Elles permettent de déterminer la présence et la dangerosité d'un élément malveillant, en se basant sur son comportement ou d'autres caractéristiques observables.
5. Exercices de simulation des situations d’urgence
Les exercices de simulation d’attaques sont également un moyen efficace pour préparer les équipes concernées à réagir et mettre en œuvre une réponse adaptée en cas d’urgence. La meilleure solution de sécurité au monde s’avère inutile si l’établissement de santé ne sait pas vers qui se tourner en cas de danger, ni quels sont les individus ou les équipes concernés au premier chef par le processus de défense. Des exercices réguliers permettent de former le personnel et d’assurer une prise de décision adéquate en cas de situation de crise. Ces exercices aident également les équipes IT, cliniques, administratives et de sécurité à identifier et à appréhender à leur juste mesure les problèmes de cybersécurité et les vulnérabilités susceptibles d’interrompre la continuité des activités essentielles.
Drex DeFord, Executive Healthcare Strategist, CrowdStrike
Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction.
Ransomware : 5 recommandations pour une meilleure protection des établissements de santé
Tous les champs sont obligatoires
0Commentaire
Réagir