Si vous avez suivi l'actualité de la sécurité cette année, ou si vous êtes vous-même en première ligne de la sécurité des soins de santé, vous savez que les réseaux de soins de santé mènent une bataille de plus en plus acharnée contre les cyberattaques. Le secteur de la santé, qui est l'un des plus ciblés, doit non seulement faire face à un volume croissant d'attaques, mais aussi à des coûts parmi les plus élevés lorsque les brèches sont réussies.
Selon les rapports du Département de la santé et des services sociaux, les violations de données dans le secteur de la santé sont en constante augmentation. Entre 2018 et 2022, le nombre de violations importantes signalées a augmenté de 93 %, et les violations impliquant des ransomwares ont connu une augmentation stupéfiante de 278 % au cours de la même période.
En ce qui concerne 2024, les rapports suggèrent une augmentation continue des atteintes à la sécurité des soins de santé par rapport à 2023. Au cours du premier semestre 2024, le ministère de la santé et des services sociaux a recensé 341 failles de sécurité dans les organismes de santé, rien qu'aux États-Unis.
Ces attaques peuvent avoir des conséquences profondes qui vont au-delà des dommages causés aux réseaux eux-mêmes. Dans certains cas, la santé des patients est compromise. Comme le rapporte Cyberscoop, Microsoft a récemment constaté que les attaques de ransomware contre les hôpitaux ont eu des conséquences plus graves sur les soins prodigués aux patients. Lorsque les activités d'un hôpital sont interrompues et que les patients sont redirigés vers d'autres hôpitaux, on observe un effet de contagion: "les hôpitaux non touchés voient affluer les patients, ce qui se traduit par une augmentation de 113 % des cas d'accidents vasculaires cérébraux et de 81 % des cas d'arrêts cardiaques. Les taux de survie ont également chuté pour ces cas d'arrêt cardiaque".
Pourquoi les cybercriminels ciblent les soins de santé : Données, perturbations et lacunes en matière de défense
Les acteurs de la menace se concentrent sur le lancement d'attaques contre les organismes de santé pour un certain nombre de raisons :
Les données sont nombreuses et de grande valeur. Un seul organisme de santé peut héberger des milliers de dossiers de patients contenant des informations personnelles, médicales et financières. Lorsque ces informations précieuses sont prises en otage lors d'attaques par ransomware, de nombreux organismes de santé sont prêts à payer la rançon (ou estiment qu'ils n'ont pas le choix), ce qui fait d'eux des cibles encore plus lucratives pour les acteurs de la menace.
La perturbation des opérations peut être importante. Les acteurs de la menace qui cherchent à avoir un impact maximal peuvent faire les gros titres lorsqu'ils s'attaquent aux organismes de santé. Comme nous l'avons vu plus haut, des cyberattaques ont mis hors service des systèmes et des appareils entiers, entraînant l'arrêt des opérations et la perte d'accès aux soins pour les patients.
Les mesures de sécurité peuvent être insuffisantes. À l'instar du secteur des services financiers, le secteur de la santé a connu une transformation numérique importante au cours des deux dernières décennies, et certains systèmes de santé ont dû relever le défi de mettre en œuvre les mesures de sécurité nécessaires pour protéger les vastes pans d'informations sur les patients et les prestataires qui ont migré en ligne.
Les organismes de santé savent qu'ils doivent prendre des mesures pour prévenir les attaques réussies, et ce rapidement. À un niveau fondamental, cela signifie passer d'une réponse de sécurité réactive - que nous avons beaucoup vue ces dernières années - à une défense de sécurité proactive qui améliore l'hygiène de sécurité de base de l'organisation.
L'adoption d'une posture de sécurité proactive comporte de nombreuses dimensions, mais examinons quelques-uns des moyens les plus efficaces dont disposent les équipes de sécurité des soins de santé pour améliorer leur cyberhygiène et prévenir les attaques réussies.
Une cyberhygiène proactive
1. Classer par ordre de priorité les biens exposés en vue d'une action immédiate
L'identification rapide et la hiérarchisation des actifs exposés sur la surface d'attaque constituent l'un des plus grands défis - et l'une des plus grandes opportunités - pour les équipes chargées de la sécurité des soins de santé. En effet, les actifs exposés constituent des points d'entrée faciles pour les attaquants. En fait, le récent rapport de l'Institut Cyentia révèle que les actifs exploités et accessibles au public sont les principaux points d'entrée pour les attaques par ransomware, dont les organismes de santé sont les plus touchés selon les rapports du FBI. Pour en savoir plus sur les conclusions de l'Institut Cyentia, consultez notre article de blog.
Qu'est-ce qui rend difficile la détection et le traitement de ces risques ? La prolifération des surfaces d'attaque a généré d'énormes volumes d'actifs qui doivent être corrigés. Déterminer quels actifs doivent être corrigés en premier peut s'avérer difficile et chronophage. De plus, lorsque de nouvelles vulnérabilités sont annoncées, les équipes ne disposent généralement que d'un court laps de temps pour déterminer quels actifs de leur surface d'attaque sont concernés avant que les attaquants ne passent à l'action.
La révolution numérique dans le secteur de la santé, qui comprend l'essor des dispositifs médicaux connectés à l'internet, a encore accru le volume d'expositions potentielles sur la surface d'attaque du secteur de la santé. À titre d'exemple, l'équipe de Censys Research a récemment observé plus de 14 000 adresses IP uniques exposant des dispositifs médicaux et des systèmes de données connectés à des informations potentiellement sensibles sur l'internet public.
Les systèmes existants sont également source de risques. Selon l'analyse du paysage de l'initiative de cyber-résilience des hôpitaux, 96 % des hôpitaux de petite, moyenne et grande taille affirment qu'ils utilisent des systèmes d'exploitation en fin de vie ou des logiciels dont les vulnérabilités sont connues.
Les équipes de sécurité des soins de santé ont besoin de moyens efficaces pour identifier, hiérarchiser et corriger ces expositions. La gestion de la surface d'attaque est un moyen automatisé et évolutif qui permet aux équipes d'obtenir une visibilité en temps réel sur tous leurs actifs numériques publics, connus et inconnus, et d'obtenir le contexte essentiel nécessaire pour hiérarchiser les risques de manière stratégique. Cette vision contextualisée et actualisée permet aux équipes de comprendre où se trouvent les vulnérabilités et quelles vulnérabilités doivent être traitées en priorité. Pour en savoir plus sur la gestion de la surface d'attaque, consultez le livre blanc ASM 101.
2. Visibilité sur les risques liés aux acquisitions et aux fournisseurs tiers
Les filiales, les acquisitions, les fournisseurs tiers et les partenaires de la chaîne d'approvisionnement du secteur de la santé sont devenus des cibles de plus en plus attrayantes pour les acteurs de la menace. Ils ont appris que pour perturber un système de santé, il n'est pas nécessaire d'ouvrir une brèche directe dans un système ; au contraire, il est possible d'entrer par le biais d'actifs exposés sur la surface d'attaque d'une filiale connectée ou d'un fournisseur tiers. Cibler les fournisseurs tiers et la chaîne d'approvisionnement au sens large est particulièrement attrayant pour les acteurs de la menace, car ils peuvent cibler non seulement le fournisseur, mais aussi toutes les entités qui lui sont liées. Lorsqu'un trop grand nombre de systèmes de soins de santé dépendent des mêmes fournisseurs, c'est tout le secteur qui peut être touché.
Pour prévenir ce type d'attaques, les organismes de santé doivent disposer d'une visibilité permanente sur les risques potentiels au sein de leurs écosystèmes de partenaires. Les systèmes de gestion des risques des tiers sont conçus pour aider à fournir cette visibilité, mais ces solutions ne fournissent souvent pas les données en temps réel dont les équipes de sécurité ont besoin pour agir rapidement (par exemple, pour comprendre si un partenaire de leur écosystème est affecté par une nouvelle vulnérabilité de type "zero-day").
L'accès à des sources de renseignements Internet en temps réel, comme les renseignements Internet exclusifs disponibles sur Censys Search, peut donner aux équipes la visibilité immédiate sur les risques liés aux tiers, nécessaire à une défense proactive. Malheureusement, la plupart des équipes ont encore un long chemin à parcourir sur ce front. Selon un rapport rédigé en partenariat avec le ministère de la santé et des services sociaux, "seuls 49 % des hôpitaux déclarent disposer d'une couverture adéquate en matière de gestion des risques liés à la chaîne d'approvisionnement". En outre, les risques liés aux tiers et à la chaîne d'approvisionnement constituent la troisième menace la plus importante pour 288 RSSI interrogés dans le cadre du 2023 H-ISAC Threat Report."
3. Surveiller les protocoles et les systèmes vitaux grâce à une veille Internet fiable
Les équipes de sécurité des soins de santé ont en outre besoin d'une visibilité continue sur les protocoles et systèmes vitaux qui sont essentiels à leurs opérations. La surveillance de ces protocoles et systèmes spécifiques peut aider les équipes à identifier plus rapidement les actifs potentiellement vulnérables sur leur surface d'attaque pour une détection avancée des menaces, ainsi qu'une réponse rapide aux incidents. Cependant, dans les infrastructures numériques complexes qui s'appuient sur des centaines de systèmes logiciels, il est plus facile de garder un œil sur ces divers protocoles sans disposer d'une source de renseignements fiable.
Censys donne accès à des milliards de services, d'hôtes et de certificats que les équipes de sécurité peuvent interroger de manière proactive. Dans ce vaste ensemble de données Internet, les équipes de sécurité peuvent lancer des requêtes pour identifier et surveiller les systèmes et protocoles informatiques critiques dans le domaine de la santé. Par exemple, les équipes peuvent rechercher le protocole Hospital Information System (HIS), qui représente les systèmes qui hébergent des informations financières, cliniques et administratives. Les protocoles DICOM, HL7 et EHR, entre autres, peuvent également être détectés à l'aide de Censys.
Censys facilite la recherche de ces systèmes et protocoles grâce à des étiquettes. Les étiquettes permettent de restreindre rapidement le champ d'une recherche aux systèmes et protocoles pertinents. Les étiquettes "dispositif médical", "accès à distance" et "partage de fichiers" peuvent être particulièrement utiles aux équipes de sécurité des soins de santé. L'automatisation des requêtes enregistrées permet aux équipes d'exécuter quotidiennement et de manière automatisée des requêtes sur ces systèmes et protocoles informatiques critiques.
Passer de la réactivité à la résilience
Alors que les attaquants continuent de cibler les soins de santé pour leurs données sensibles et leur potentiel de perturbation opérationnelle, le moment est venu pour les équipes de sécurité des soins de santé d'élever leurs défenses. En donnant la priorité aux actifs exposés, en améliorant la visibilité des risques pour les tiers et en surveillant les protocoles vitaux, les organismes de santé peuvent atténuer les vulnérabilités, mieux gérer leur surface d'attaque et, surtout, protéger la sécurité et la confiance des patients.
Vous souhaitez en savoir plus ?
Consultez notre liste de contrôle de la cyberhygiène dans le secteur de la santé pour connaître les meilleures pratiques en matière de sécurité.
