Rançongiciels dans le milieu hospitalier : comment y faire face ?
Afin de minimiser la gravité et la fréquence des attaques auxquelles ils sont exposés, les organismes de santé doivent donc être capables de réduire le nombre de vecteurs exploités pour accéder à leurs systèmes informatiques.
Le secteur de la santé est de plus en plus pris pour cible par les cybercriminels. Selon le dernier rapport mondial sur les menaces, les établissements médicaux figurent parmi les cinq principales cibles de cyberattaques en 2023. Une situation qui s'explique en partie par le fait que les données gérées fournissent pratiquement toutes les informations nécessaires à un attaquant pour dresser un profil numérique d'un patient.
Ces données comprennent généralement la date de naissance, le lieu de naissance, le numéro de sécurité sociale, l'adresse et l'adresse e-mail, voire, dans certains cas, les informations de carte de crédit. La valeur d'un tel ensemble de données est estimée à jusqu'à 1 000 dollars.
Par conséquent, pour réduire la gravité et la fréquence des cyberattaques, les organisations de santé, qui sont très vulnérables en raison de leurs budgets limités pour les technologies de l'information et la sécurité, ainsi que de leurs ressources limitées, doivent être en mesure de réduire les points d'attaque dans leurs systèmes informatiques. Afin de minimiser la gravité et la fréquence des attaques auxquelles ils sont exposés, les organismes de santé doivent donc être capables de réduire le nombre de vecteurs exploités pour accéder à leurs systèmes informatiques.
Différentes mesures peuvent être mises en oeuvre pour assurer leur protection :
Prévention des attaques grâce au Zero Trust
Les adversaires redoublent d'efforts pour exploiter les informations d'identification volées, avec une augmentation de 112 % des annonces pour des services d'access-broker dans le milieu cybercriminel. En utilisant des informations d'identification volées, les adversaires peuvent obtenir un accès au système et se déplacer latéralement pour éviter une détection rapide. Par conséquent, une approche dite de Zero Trust doit être mise en oeuvre dans le secteur de la santé pour prévenir les attaques basées sur l'identité en temps réel.
Protection complète des workloads
Pour accéder aux précieuses données des établissements de santé, les cybercriminels doivent pénétrer dans le réseau de la victime. C'est pourquoi la sécurité des endpoints et des workloads, ainsi que la protection des données et des identités, sont des aspects critiques pour se protéger contre les cyberattaques.
Lire aussi : Cybersécurité : 8 personnalités qui ont marqué 2024
L'Extended Detection and Response (XDR) constitue la prochaine étape vers une prévention de la sécurité basée sur les menaces. L'XDR permet de centraliser la collecte et l'analyse des données de sécurité, offrant ainsi de meilleures informations sur les menaces et une réponse standardisée. Les données collectées, corrélées, analysées et hiérarchisées à partir des endpoints, des workloads dans le cloud, des réseaux et des e-mails sont mises à disposition des équipes de sécurité dans un format normalisé via une console centralisée.
Protection proactive : Usage du Threat Hunting et du Threat Intelligence
Une fois que les cybercriminels ont accès à un réseau, ils n'ont pas beaucoup de temps : en moyenne, il leur faut seulement environ 1 heure et 24 minutes pour s'y déplacer latéralement.
Pour traiter l'origine de la problématique, il est essentiel que les organismes de santé utilisent des méthodes de Threat Hunting et Threat Intelligence qui permettent déceler les signes d'une intrusion et d'en expulser les auteurs hors du réseau. Les équipes en charge de la sécurité IT peuvent dès lors être déployées avec efficacité.
Dans de nombreux cas, il est également recommandé de faire appel à des services de cybersécurité extérieurs entièrement managés.
Ces services non seulement fournissent des renseignements sur les menaces, mais peuvent également apporter des réponses adaptées en termes d'incidents, de récupération des endpoints et de surveillance proactive pour combler les failles qui affectent la sécurité.
Exploiter l'apprentissage automatique et l'intelligence artificielle
À mesure que les adversaires continuent de développer leurs techniques d'attaque, les établissements de santé doivent constamment mettre à jour et renforcer leurs protections. Les attaques modernes ne peuvent plus être efficacement contrées par des technologies obsolètes, et les logiciels antivirus basés sur des signatures ne suffisent plus depuis longtemps.
Aujourd'hui, il est essentiel de tirer parti des avancées du machine learning et de l'intelligence artificielle. Ces technologies permettent de détecter les comportements malveillants en se basant sur des schémas et des caractéristiques observables. Elles peuvent ainsi aider à identifier les menaces potentielles et à prendre des mesures de défense appropriées. Considérées comme des éléments indispensables dans la stratégie de défense de toute organisation, elles permettent de renforcer la sécurité des systèmes informatiques et de réduire les risques d'attaques.
Se préparer au pire
Les adversaires sont conscients que le secteur de la santé est confronté à des contraintes budgétaires en ce qui concerne les technologies de l'information et la sécurité. De plus, les ressources sont limitées, et toute cyberattaque aura un impact sur l'efficacité et la capacité du système de santé à dispenser des soins aux patients.
Des exercices réguliers permettent de former le personnel et d'assurer une prise de décision adéquate en cas de situation de crise. Ces exercices aident également les équipes IT, cliniques, administratives et de sécurité à identifier et à appréhender à leur juste mesure les problèmes de cybersécurité et les vulnérabilités susceptibles d'interrompre la continuité des activités essentielles.
L'émergence des modèles RaaS ont rendu les cyberattaques encore plus simple
Depuis plusieurs années, la cybercriminalité connaît une augmentation alarmante. Par exemple, les adversaires utilisent souvent des vulnérabilités ou des identifiants pour accéder aux systèmes. La situation s'est aggravée avec l'émergence des modèles de rançongiciels en tant que service (RaaS), qui permettent aux cybercriminels de réserver facilement des services de rançongiciels. Dans le modèle d'affiliation des rançongiciels, les prestataires reçoivent un pourcentage prédéterminé du montant de la rançon extorquée avec succès par les affiliés.
Ce modèle commercial est très lucratif, d'autant plus que les attaques par ransomwares à double extorsion sont de plus en plus répandues. Dans ce type d'attaque, les auteurs exigent une rançon pour décrypter les données et une autre rançon pour éviter leur divulgation ou leur vente. Ce type d'attaque fonctionne particulièrement bien dans le secteur de la santé, car les organisations ont la responsabilité de sauver des vies. Ainsi, une telle attaque peut perturber massivement leurs activités, les rendant plus enclines à payer une rançon que dans d'autres secteurs.
Cette fragilité est également renforcée par des budgets limités pour les investissements en personnel et en technologie, ce qui en fait une cible facile. Parallèlement, la sophistication croissante des modes opératoires accroît la vulnérabilité du secteur de la santé, ce qui explique pourquoi il existe encore un important retard à combler dans ce domaine.
Drex DeFord, Executive Healthcare Strategist - CrowdStrike.
Sur le même thème
Voir tous les articles Cybersécurité