Le secteur de la santé fait l’objet de multiples attaques ces derniers temps. Cette vulnérabilité s’explique par une modernisation sans précèdent. Ce bouleversement à marche forcée, doit prendre en compte l’intégration du numérique, d’objets connectés, l’arrivée de la 5G, de la robotique… or la plupart du temps cette intégration s’est faite dans la précipitation, sans démarche sécuritaire. Les cybercriminels ont vu là une voie royale sur des données précieuses : les renseignements médicaux, les numéros de sécurité sociale, les adresses, les antécédents médicaux de patients et professionnels de santé…
Jusqu’ici, le secteur était le parent pauvre du numérique, ce secteur est aujourd’hui en pleine transformation digitale. La numérisation du parcours du patient et la pandémie n’ont pas aidé pour assurer cette transformation en douceur, et les cybercriminels ont profité de l’urgence de la situation pour s’attaquer à cette proie facile.
Voyons quels sont les enjeux et les menaces qui pèsent sur ce secteur.
Santé et Cyberattaques : Quelles sont les priorités ?
Depuis 2021, un établissement de santé est victime chaque semaine d’une cyberattaque
Olivier Véran – Ministre de la santé
Pourquoi le monde de la santé fait-il l’objet de cyberattaque ? La fragilité des systèmes informatiques du secteur, les budgets réduits, le manque de sensibilisation et le manque de temps peuvent expliquer ce marché criminel en plein essor.
Priorisation budgétaire
Les derniers mouvements sociaux et la pandémie ont mis en lumière le manque évident de financement dans le secteur de la santé. Les budgets alloués de manière générale, et plus particulièrement pour la cyber sécurité, restent insuffisants.
Une attaque cyber ne pourrait qu’aggraver la situation déjà complexe dans certains hôpitaux. Ces établissements n’ont pas droit à l’arrêt, chaque seconde peut être vitale pour un patient. Les cybercriminels en sont conscients et savent que cela sera une pression supplémentaire, pour que les hôpitaux payent les rançons.
De plus chaque hôpital gère sa cybersécurité de façon non homogène d’une structure à l’autre. Les moyens diffèrent, de même que les politiques de sécurité menées. Il y a un réel besoin d’harmonisation. Le gouvernement français compte bien y aider, en débloquant un budget de 2 milliards d’euros pour le numérique, afin de pallier le déficit. Le principal axe étant « le soutien à l’adoption de cybersécurité par les petites et moyennes structures, dont les hôpitaux et les collectivités territoriales, le renforcement de la formation et le doublement du nombre d’emplois dans le secteur d’ici 2025 » (E. MACRON)
A ce déficit, s’ajoute l’absence ou l’insuffisance de budget dédié aux ressources humaines et particulièrement aux fonctions dites « support ». Or il est important d’avoir des profils experts et dédiés au métier de la cybersécurité. Mais les talents sont chers, et la pénurie de ces profils n’aident pas.
Nécessité d’accélérer la formation
Les cybers attaquants visent la faille humaine avant tout et le secteur de la santé n’y échappe pas. Selon une enquête de notre partenaire Proofpoint[1] « 58 % des RSSI considèrent le facteur humain comme leur plus grande vulnérabilité cyber » Le secteur des soins de santé est l’un des secteurs les plus exposés et pourtant ses acteurs, qui sont les gardiens des données, sont parfois les moins formés.
Les fameuses VAP, « Very Attacked People », qui sont ciblés dans ce secteur sont : les anciens élèves, les professeurs des hôpitaux universitaires, les services financiers des assureurs médicaux, le personnel clinique, les cadres et les directeurs. Il est important que cette cible mesure le rôle qu’elle a à jouer dans la protection des données, et cela passe par une sensibilisation que nous verrons plus tard.
Besoins temporels
Nul doute que l’urgence est une constante dans ce secteur. La crise du Covid a mis en exergue cet état d’urgence, le travail sous pression, le manque de temps. Le personnel doit réagir vite et bien. Or en situation d’urgence l’être humain n’a pas la capacité de prendre les bonnes décisions, là aussi les cybers criminels le savent et le personnel médical en sera victime.
Transformation écologique
Les services de santé sont en pleine mutation technologique. Qui dit technologie dit sécurité. Or la structure IT de ces organismes est la plupart du temps obsolète, non adaptée en termes de normes, de sécurité, devenant ainsi l’eldorado des failles de sécurité et des criminels qui s’y engouffrent.
Pour ce qui est des IOT, « les pompes IV (intraveineuses) représentent 38% de l’empreinte IoT d’un hôpital et (…) 73% de ces pompes présentent au moins une vulnérabilité ». La mise à jour des appareils est cruciale et tous doivent se trouver sur un réseau isolé. En effet, selon une étude menée par Cynerio[2], 53% des IOT présentent des risques en matière de cybersécurité, car ces derniers fonctionnent sur des versions obsolètes de Windows ou Linux qui n’ont pas bénéficié de mise à jour. Ces dispositifs médicaux connectés doivent faire l’objet d’une attention accrue. Se pose évidemment la question de savoir ce qui arriverait si demain un robot de chirurgie était sous le contrôle d’un attaquant.
L’extension de la surface d’attaque joue aussi un rôle important dans la multiplication des risques. Nous venons de voir l’impact des IOT, mais les services liés à la santé se sont aussi démultipliés : le développement de la télésanté, la télémédecine, la télésurveillance médicale, les plateformes de prise de rendez-vous ou encore les chatbots… et il ne faut pas omettre, les prestations des services tiers.
La complexité de la chaîne logistique de ce secteur crée de nouvelles perspectives pour les cybercriminels en recherche de failles. En effet, les organisations externes, les cabinets d’analyse médicale, les organismes sociaux, le service de facturation, d’assurance, tout cet écosystème est relié et crée un agrandissement du périmètre d’attaque. Toute la chaîne doit être sécurisée de bout en bout et cela est un véritable challenge.
La complexité de l’infrastructure joue aussi un rôle, en effet sur certains logiciels propres au secteur de la santé, les éditeurs demandent à ne pas appliquer d’antivirus, ou à le désactiver sous peine de ne pouvoir assurer leur maintenance, or un tel comportement à risque favorise malheureusement les attaques.
Enfin, la difficulté de recenser tous les équipements connectés ajoute encore une difficulté supplémentaire, dont TEHTRIS a bien conscience. C’est la raison pour laquelle nos solutions apportent une visibilité nouvelle aux DSI et permet de réduire la surface d’exposition.
L’accumulation de ces carences ajoutées à toutes ces nouvelles technologies, ces environnements, complexifient les infrastructures IT et fragilisent la sécurité de ce secteur.
Santé et Cyberattaques : Quelles sont les menaces ?
Le phishing
Les attaques par phishing sont très fréquentes et particulièrement dans le secteur de la santé et la pandémie n’a pas aidé. En mai 2020, des chercheurs en sécurité ont détecté « plus de 300 campagnes liées au thème de la COVID-19 diffusées en ligne »[1]. Le but est de perturber le fonctionnement des établissements et de voler de données. Les cybercriminels s’adaptent à l’actualité. Ainsi de nombreux sites d’organisations de santé ont été imités comme des organisations non gouvernementales (ONG), l’Organisation mondiale de la santé (OMS), l’Internal Revenue Service (IRS), Centers for Disease Control (CDC)…
Ces attaques sont extrêmement efficaces et particulièrement dans ce milieu sous urgence, et où la manipulation est facile. Ces attaques par ingénierie sociale ont pour but de tromper les utilisateurs (infirmières, médecins, tiers de confiance, etc.) de plus en plus pressés, moins attentifs, afin d’obtenir des informations, de l’argent ou l’accès au SI.
Le CHU de Montpellier, a été victime d’hameçonnage en mars 2019, au total plus de 649 ordinateurs ont été touchés, fort heureusement le réseau wifi n’a pas été infecté et a permis aux personnels soignants de poursuivre les actes médicaux.
Le type d’attaque DNS (Domain Name System) comme le phishing est l’attaque la plus fréquente dans ce secteur. Chez TEHTRIS, notre DNS FW est une solution de sécurité qui collecte les demandes de résolution DNS et les analyse afin de supprimer ou de rediriger les requêtes liées aux domaines suspicieux ou malveillants.
Il vous protège ainsi des menaces externes et internes.
Les ransomwares
Une des menaces les plus fréquentes pour les organismes de la santé comme les hôpitaux sont les ransomwares.
Dans le cas d’une attaque tous les systèmes vitaux sont compromis : du SI, au système de communication, mais aussi les matériels, comme les scanners, les IRM, les pompes à perfusion etc. Tout le système est paralysé en quelques secondes, et la vie des patients est en jeu. Cela fut notamment le cas en Allemagne, où une patiente est décédée en septembre 2020, suite à l’impossibilité d’effectuer une opération en urgence à cause d’un ransomware.
Nous avons tous en tête l’attaque Wannacry qui a frappé de plein fouet le système de santé publique britannique. La France est elle aussi victime, pour preuve l’hôpital de Villefranche-sur-Saône, celui de Dax, ont malheureusement vécu cette situation, en étant paralysés par une cyber attaque en février 2021. L’hôpital de Saint-Gaudens a dû fermer ses services informatiques en avril 2021 à la suite d’un ransomware ; la liste des victimes est longue, les exemples qui l’illustrent abondent.
Les hôpitaux ne sont pas les seules victimes, les patients le sont aussi, en témoigne un cas en Finlande. En octobre 2020, la société Vastaamo qui gère 25 centres de psychothérapie a été victime de vols de dossier de patients qui ont été publiés, sur fond de chantage. Les patients avaient reçu en effet des courriels demandant 200 euros en bitcoin pour empêcher la diffusion des données.
Vol de données
La faiblesse des infrastructures SI explique la recrudescence des attaques, mais il ne faut pas oublier un autre facteur d’intérêt pour les criminels : la richesse des données. Les hôpitaux gèrent des informations qui intéressent les attaquants. Ils ont en leur possession des informations sensibles comme des données personnelles, les numéros de sécurité sociale, des informations sur la propriété intellectuelle, des documents de recherche, des identifiants de connexion …Les cybercriminels sont friands de ces données, alimentant l’espionnage industriel, permettant la revente aux compagnies d’assurance, sur le marché du darkweb…
Un dossier médical peut valoir jusqu’à 350 $ sur le marché noir, soit 50 fois plus qu’un dossier bancaire, 2,5 fois plus que la moyenne mondiale des autres documents[4]
En mars 2020, l’Assistance Publique Hôpitaux de Paris (APHP) a subi une attaque : 1,4 million de personnes, venues effectuer un test de dépistage du Covid-19 ont vu leurs données compromises. Parmi ces données figuraient : les noms et prénoms, la date de naissance, le sexe, le numéro de sécurité sociale, l’adresse postale, électronique ou le numéro de téléphone, le résultat du test.
Les attaques DDOS
Les attaques par déni de service sont tout autant dévastatrices que les ransomwares. En effet, un arrêt du service même pendant une durée limitée peut être terriblement redoutable, notamment pour les services de chirurgie. Certains hôpitaux ayant subi ce genre d’attaque ont dû transférer en urgence leur patients. Cela a été le cas de l’hôpital universitaire de Brno, en république Tchèque en 2020. L’hôpital a été forcé de fermer tout son réseau informatique pendant l’incident.
Les attaques DDOS dans ce milieu sont généralement ciblées et visent à couvrir une seconde attaque. Il faut donc rester vigilant. De même, si les ordinateurs d’un fournisseur sont compromis, ils peuvent faire partie d’un botnet, là encore la vigilance est de mise, car les performances du service sur le réseau local se verront ralenties.
Protéger nos infrastructures santé avec TEHTRIS
Le secteur de la santé, tout comme les systèmes industriels ont besoin de solutions de cybersécurité spécifiques. Nous l’avons vu, l’application de correctifs est complexe pour les appareils IoT pour différentes raisons, par leur provenance d’une part ; cela peut être des logiciels propriétaires ou provenir de différents fournisseurs, et du fait des « impératifs » de production où des vies sont en jeu, d’autre part. Tout arrêt de la production pour patcher est inenvisageable. La technologie doit s’adapter à ces réseaux.
TEHTRIS l’a bien compris et propose des solutions de sécurité adaptées. Nous assurons d’ailleurs la sécurité de certains hôpitaux en Europe ainsi que des administrations publiques dans le secteur de la santé. De plus nous avons l’expérience du milieu industriel et de l’OT et ce depuis la création de la société.Nous sommes donc en capacité de répondre aux mieux aux attentes de ce secteur spécifique.
La solution XDR de TEHTRIS permet cette adaptation.
- Notre EDR est une solution idéale car cette technologie peut être en détection seule ou en remédiation. La solution peut être à la carte, configurée selon la criticité des machines, comme des serveurs, des ordinateurs, des imprimantes, des téléphones. Elle permet d’avoir une visibilité sur toutes menaces éventuelles : un ransomware pourra être remédié automatiquement, les intrusions détectées. Face à une menace particulière nous sommes en capacité de renforcer la protection sur des IoC, ….De plus, tous les modules de l’EDR permettent une gestion tout au long de la chaine (mise à jour avec le module audit, la détection du shadow IT…)
- Notre SIEM monitore l’activité opérationnelle et aide à identifier tout ce qui est inhabituel. Nos solutions hyperautomatisées sans intervention humaine est un gage d’efficacité pour des équipes qui sont déjà sous tension. Notre offre propose une protection en fonction des assets et une remédiation à l’aide de l’apprentissage automatique; le tout sans perturber le service de santé, l’accueil et le soin des patients. C’est notre solution qui s’adapte à votre infrastructure.
- TEHTRIS Deceptive Response, notre honeypot, permet de détecter les activités malveillantes sur un sous-réseau type Scan réseau. Ainsi, si une machine est infectée, le premier réflexe de l’attaquant est de scanner le réseau et se connecter autour (afin de pivoter pour continuer l’attaque). Mais grâce au honeypot, les équipes de défenseurs savent immédiatement si une machine a tenté de scanner le réseau ou de l’attaquer. L’attaque peut être immédiatement évitée.
[1] Proofpoint, paysage des menaces dans le secteur de la santé.2020
[2] Cynerio fabrique des systèmes IoT pour le secteur de la santé et a analysé plus de 10 millions de dispositifs médicaux
[3] https://www.proofpoint.com/uk/blog/threat-insight/ready-made-covid-19-themed-phishing-templates-copy-government-websites-worldwide
[4] Enquête Eurogroup Consulting – Aout 2021