Pourquoi le secteur de la santé reste une cible privilégiée pour les cybercriminels ?
Depuis plusieurs années déjà, le secteur de la santé est confronté aux cybermenaces. L’importante quantité de données précieuses et sensibles, le besoin souvent impératif de service ininterrompu et l’utilisation de systèmes parfois obsolètes ou contraints en maintenance (ex biomédical) font de ce secteur une cible attractive pour les cybercriminels.
Les organisations publiques dans le secteur de la santé sont également dans le viseur des cybercriminels. Preuves à l’appui, après l'Assistance Publique Hôpitaux de Paris, c’est au tour des établissements de Dax (Landes), de Villefranche-sur-Saône, Tarare et Trévoux (Auvergne-Rhône-Alpes) d'être victimes d'une cyberattaque, amenant Emmanuel Macron à annoncer un plan de lutte contre la cybercriminalité d’un milliard d’euros appliqué d’ici 2025. Bref, c’est tout un secteur qui se retrouve fragilisé, sur l’ensemble du territoire.
Revenons aux données de santé : elles sont extrêmement précieuses pour deux raisons. Tout d'abord, parce que contrairement à des données financières (comme un numéro de carte de crédit) qui peuvent être modifiées en cas de fraude, les données relatives à un patient caractérisent ce qu’il est (son numéro de sécurité sociale, son adresse, sa taille, son poids, les informations médicales le concernant voire sur son conjoint ou sa famille) et ne peuvent donc pas être modifiées. Ensuite, ces données de santé sont aussi précieuses car elles peuvent être monétisées : beaucoup sont prêts à payer cher pour intercepter des données patients mais aussi des ordonnances pour des substances réglementées, ou procéder au vol de propriété intellectuelle de la recherche clinique.
Que ce soit par le biais du phishing, la compromission par email, les rançongiciels ou toute autre forme d'attaque, les acteurs de la menace contournent les défenses des établissements de santé pour demander des rançons, dérober des données et perturber les infrastructures. Et le pire serait encore à venir. En octobre 2020, le FBI a averti les hôpitaux et les prestataires de soins de santé américains de s'attendre à une « menace de cybercriminalité accrue et imminente, entraînant des attaques de rançongiciel, des vols de données et la perturbation des services de santé ».
Cependant, les hôpitaux sont loin d'être les seuls à être ciblés. Les cybercriminels concentrent également leurs efforts sur les sociétés pharmaceutiques, les assureurs, les centres de formation et toute autre institution susceptible de détenir ces informations sensibles.
Une industrie déjà acculée est souvent mal préparée pour un nouvel assaut. Pour renforcer ses défenses, le secteur de la santé doit d'abord comprendre la nature des cybermenaces auxquelles il est confronté et avoir une visibilité sur les personnes qui, au sein de ses organisations, sont les plus visées. C’est seulement en ayant possession de ces informations qu'il pourra construire une défense solide capable de détecter et de dissuader les menaces les plus complexes.
Mieux comprendre les cybercriminels
Selon le rapport 2020 sur le paysage des menaces dans le secteur de la santé, les campagnes visant le secteur de la santé pourraient être attribuées à pas moins de 35 acteurs différents. 64 % de ces campagnes auraient été orchestrées par des groupes cybercriminels de grande envergure.
Ce type d’acteurs de la menace adopte une approche de type "scattergun", en envoyant des volumes importants d'attaques à un large éventail d'organisations. L’an dernier, l'un des groupes cybercriminels les plus connus, TA505, a mené une vaste campagne contre le secteur de la santé, diffusant 200 000 messages malveillants à destination des entreprises pharmaceutiques. Des attaques de cette ampleur ne sont pas rares, TA505 a par exemple distribué 50 millions de pièces jointes malveillantes en une seule journée.
Les groupes cybercriminels de plus petite envergure (qui représentent environ un tiers des attaques dans le secteur de la santé), se concentrent plutôt sur des sous-secteurs plus restreints. Mais si leurs campagnes sont moins fréquentes et moins nombreuses, elles ont tendance à être plus sophistiquées. Les attaques de cette envergure s'appuient sur des données d’environnement précises pour mieux s'adapter à leur cible, en incorporant des techniques d'ingénierie sociale et tromper les victimes. Une fois que la cible est atteinte, ces types d'attaques s'appuient souvent sur le typosquattage et les enregistreurs de frappe pour collecter et vendre des informations personnelles et des identifiants de connexion.
Enfin, la menace la moins commune contre le secteur de la santé, mais qui pourtant pourrait être la plus dévastatrice sont les attaques menées par les États-nations. Depuis de nombreuses années, des groupes organisés, principalement basés en Chine, en Iran et en Russie, ont montré un intérêt malveillant pour le secteur de la santé en Occident. Pour la plupart, les acteurs des États-nations concentrent leur attention sur la propriété intellectuelle, en essayant d’infiltrer les défenses des grandes entreprises pharmaceutiques et des instituts de recherche.
Si la taille ou l’origine des acteurs diffèrent, les méthodes elles, restent les mêmes, avec les attaques par rançongiciel et de phishing étant toujours les plus fréquentes. Mais la menace la plus inquiétante pour le secteur de la santé reste la compromission par email. En le compromettant ou en se faisant passer pour un compte légitime, les cybercriminels s'infiltrent afin de frauder les institutions et s'emparer de données sensibles, de la propriété intellectuelle ou d’autres identifiants de connexion.
Identifier les personnes ciblées
C’est seulement en ayant une image claire du paysage d'attaque que les organisations du secteur de la Santé pourront adapter leurs défenses et tenir les acteurs de la menace à distance. Cela implique la mise en œuvre d'outils de filtrage email pour arrêter les menaces avant qu'elles n'atteignent la boîte de réception, et la création de processus de vérification pour limiter les chances de réussite des attaques d'usurpation d'identité et de compromission de compte.
Mais la technologie seule ne suffit pas, les cyberattaques visant de plus en plus les personnes. Pour élaborer une stratégie de cybersécurité centrée sur l’humain, il faut commencer par identifier les personnes les plus attaquées, autrement appelées « Very Attacked People » (VAP). Elles diffèrent selon les organisations, et si les cybercriminels ont tendance à cibler les anciens élèves et les professeurs des hôpitaux universitaires, les services financiers des assureurs médicaux et le personnel clinique, les PDG, les cadres et les directeurs restent généralement toujours dans la ligne de mire.
C’est seulement une fois les VAP identifiées qu’il sera possible de fournir aux équipes les outils et les informations nécessaires pour se protéger contre les menaces. La formation et la sensibilisation, pour comprendre les méthodes et motivations, est le premier pilier d’une sécurité solide. Outre la capacité à repérer les liens malveillants et les emails suspects, elle doit être approfondie, continue et les utilisateurs finaux doivent prendre conscience que la cybersécurité relève de la responsabilité de chacun.
Les RSSI français en ont pleine conscience : une récente enquête de Proofpoint révèle que 58 % considèrent le facteur humain comme leur plus grande vulnérabilité cyber. Il apparaît de manière évidente que le modèle de travail à distance rendu nécessaire par la pandémie a plus que jamais mis les RSSI à l'épreuve.
Suivre l’évolution des menaces
Si des contrôles techniques stricts et un niveau élevé de sensibilisation des utilisateurs sont les fondements d'une stratégie globale de cybersécurité solide, cela ne constitue pas une défense infaillible.
Sécuriser les environnements cloud, mettre en œuvre des contrôles d’email et d'authentification efficaces, et apprendre aux utilisateurs finaux à quoi ressemble un email de phishing aujourd'hui ne suffit pas. Il est nécessaire de surveiller continuellement le paysage des menaces pour s’assurer que toutes les protections mises en place resteront efficaces.
En outre, les données médicales sensibles peuvent être exfiltrées et utilisées pour des opérations de chantage : l’hôpital contre une menace de divulgation, mais aussi les patients contre par exemple la menace de révéler leur maladie ou pathologie… En Finlande, ce sont les dossiers de milliers de patients en psychothérapie qui ont été piratés pour faire l’objet d’un chantage. De nombreux patients ont déclaré avoir reçu des emails demandant 200 € en bitcoin pour empêcher que le contenu de leurs discussions avec les thérapeutes ne soit rendu public. Les données ont été dérobées à la société privée Vastaamo, qui gère 25 centres de psychothérapie dans le pays.
Avec une empreinte numérique croissante et une main-d'œuvre de plus en plus dispersée, le secteur de la santé n’est pas près de disparaître du viseur des cybercriminels. En outre, les attaques vont être de plus en plus intenses, ciblées et sophistiquées, avec le risque de devenir létales.
----
À propos de Proofpoint, Inc.
Proofpoint, Inc. (NASDAQ:PFPT) est une entreprise leader dans le domaine de la cybersécurité qui protège les ressources les plus importantes et les plus à risques des entreprises : leurs collaborateurs. Grâce à une suite intégrée de solutions cloud, Proofpoint aide les entreprises du monde entier à stopper les menaces ciblées, à protéger leurs données et à rendre leurs utilisateurs plus résistants face aux cyberattaques. Les entreprises de toutes tailles, y compris plus de la moitié des entreprises de l’index Fortune 1000, font confiance aux solutions de sécurité et de conformité de Proofpoint centrées sur les individus, pour diminuer leurs risques les plus critiques en matière de sécurité et de conformité via les emails, le cloud, les réseaux sociaux et le Web. Pour plus d'informations, rendez-vous sur https://www.proofpoint.com/fr