SANTÉunit 42

Cybersécurité dans la santé

PROTECTION ET RÉPONSE AUX INCIDENTS POUR LES ACTEURS DE LA SANTÉ

La cybersécurité dans la santé fait l’objet d’une attention croissante car, dans le milieu des cybercriminels, ce secteur est réputé pour sa profusion de cibles potentielles. Dans leur viseur ? Les dossiers médicaux, les fruits de la recherche médicale et la propriété intellectuelle qui valent de l’or sur le Dark Web.

Tandis que les données financières volées ont une durée de conservation minimale, les données de santé à caractère personnel, elles, existent indéfiniment. Si les victimes d’une compromission peuvent obtenir facilement une nouvelle carte bancaire, elles ne peuvent pas changer leur groupe sanguin ou leurs antécédents médicaux. Ce simple constat suffit à augmenter la valeur des données de santé pour les cybermalfaiteurs qui n’hésitent pas à prendre ces informations en otage ou à les revendre à des tiers longtemps après leur vol.

Cela ne veut pas pour autant dire que les cybercriminels négligent les opportunités de soutirer de l’argent aux acteurs de la santé. Aux États-Unis, le secteur de la santé représente près d’un cinquième de l’économie nationale. Chaque jour, des sommes colossales transitent par voie électronique entre les établissements et de multiples parties (payeurs, prestataires, fournisseurs, patients, etc.). Un seul maillon faible dans la chaîne suffit pour donner aux acteurs cyber une occasion de frapper.


Le secteur de la santé se démarque tristement en matière d’incidents de sécurité

  • Les établissements de santé constituent 16 % de toutes les interventions gérées par Unit 42, loin devant tous les autres secteurs.
  • Les ransomwares sont la méthode d’attaque privilégiée contre les acteurs de la santé. Ils comptent pour plus d’un cinquième de tous les incidents que nous avons observés.
  • Quant aux attaquants spécialisés dans la compromission de messagerie professionnelle (BEC), l’appât du gain reste leur motivation principale de cibler le secteur de la santé, en proie à 15 % des incidents de ce type sur lesquels nous intervenons.
  • Le secteur représente 15 % de nos missions impliquant la divulgation accidentelle de données sensibles ; un chiffre qui s’explique en grande partie par la dépendance accrue des acteurs de la santé aux solutions cloud.
Pour en savoir plus sur la prolifération des attaques dans le secteur de la santé, lisez le rapport Unit 42 sur les compromissions et les réponses aux incidents

Cybersécurité dans la santé : des problématiques uniques

1

Une migration vers le cloud n’est pas sans risque.

De la facturation aux téléconsultations en passant par les portails en ligne, le secteur de la santé mise de plus en plus sur le cloud. Or, même si elles combinent évolutivité et efficacité, ces solutions augmentent aussi les risques associés non seulement au cybercrime, mais également aux divulgations accidentelles de données sensibles.

2

La sécurité de l’IoT en question.

Face à l’interconnexion croissante des appareils médicaux, les attaquants bénéficient d’une surface d’attaque toujours plus vaste pour accéder à des données sensibles, voire perturber les soins en cours. Cette prolifération des appareils IoT et la sophistication accrue des outils et techniques d’attaque se traduisent premièrement par le besoin pour les prestataires de santé de protéger un nombre sans précédent d’équipements, et deuxièmement, par un niveau d’enjeu plus élevé que jamais. Une gestion appropriée de la cybersécurité dans le domaine de la santé exige un partenaire expérimenté à l’expertise unique. En savoir plus sur Unit 42.

3

Les perturbations et interruptions d’activités peuvent coûter très cher – et être lourdes de conséquences pour les patients.

Vu les enjeux vitaux de leur activité, les hôpitaux, les cabinets médicaux et autres établissements de santé ne peuvent pas se permettre de subir des perturbations dans leurs systèmes et réseaux critiques. Parce que ces structures dépendent de plus en plus d’échanges de données électroniques, des temps d’arrêt de leurs systèmes entraînent non seulement des coûts énormes, mais peuvent également retarder l’accès aux informations médicales critiques des patients et perturber le fonctionnement des services de soins vitaux.

4

Les autorités de régulation observent.

Selon le HIPAA (Health Insurance Portability and Accountability Act), les établissements de santé américains ont également la responsabilité de protéger les informations médicales personnelles qu’ils reçoivent, utilisent ou conservent par voie électronique. La Security Rule du HIPAA exige des protections administratives, physiques et techniques appropriées pour assurer la confidentialité, l’intégrité et la sécurité des données de santé électroniques. En cas de perte de contrôle sur leurs données, les établissements de santé doivent en informer les personnes concernées, l’administration centrale, voire les médias.

5

La pandémie élève le niveau d’enjeu.

Alors qu’ils concentrent leur temps, leur attention et leurs ressources à la gestion de la crise sanitaire, les établissements de santé subissent une recrudescence d’attaques perpétrées par des acteurs cyber cherchant à tirer profit de cette situation d’urgence. Depuis le début de la pandémie, les diffusions d’e-mails de phishing et de malwares se servant de la pandémie de Covid-19 comme d’un appât ont considérablement augmenté. De leur côté, les agences de renseignements ont signalé des attaquants exploitant des malwares et des e-mails de phishing sophistiqués pour tenter d’accéder aux travaux de recherche sur les vaccins et aux informations sur la supply chainsmédicale.

Cette étude de cas détaille les difficultés rencontrées par un acteur majeur de la santé suite à une attaque par malware, et les mesures prises par ce dernier, avec l’aide du RSSI virtuel d’Unit 42, pour se remettre de cet incident.

Solutions de cybersécurité Unit 42 pour les établissements de santé

1

Évaluation HIPAA (Health Insurance Portability and Accountability Act).

Unit 42 applique les principes et les exigences du HIPAA pour évaluer la posture de sécurité globale d’un établissement en fonction de son personnel, de ses processus et des technologies de protection de son infrastructure et de ses ressources. Pour mieux cerner l’environnement de sécurité, nous identifions les emplacements des données de santé personnelles et autres informations sensibles, et la manière dont elles sont stockées et transmises. Nous examinons également la documentation existante et formulons des recommandations basées sur les standards du secteur médical. Enfin, nous menons des entretiens avec les parties prenantes pour avoir un aperçu de l’infrastructure, des opérations, des capacités, des processus et des pratiques générales de cybersécurité dans l’ensemble de l’établissement. Notre évaluation HIPAA comprend des recommandations détaillées pour remédier aux failles de sécurité identifiées, ainsi qu’une feuille de route de mise en œuvre stratégique détaillant la manière dont les failles identifiées peuvent être traitées, y compris le niveau d’effort perçu et les coûts estimés.

2

Évaluations approfondies du cyber-risque adaptées aux menaces propres au secteur de la santé.

Unit 42 propose des évaluations ciblées et des services techniques de cybersécurité. Leur mission est double. D’une part, tester et analyser la posture de sécurité et la cyber-résilience globale d’un établissement. D’autre part, vérifier l’efficacité optimale des contrôles de sécurité. Au menu : tests d’intrusion (où nous simulons une attaque réelle pour évaluer l’efficacité de votre contre-attaque et identifier les vulnérabilités cachées), tests d’applications web et mobiles, évaluations de sécurité ciblées de vos configurations en place, exercices de phishing, et simulations au travers de scénarios personnalisés basés sur les menaces spécifiques au secteur de la santé.

3

Élaboration d’une cyberdéfense taillée pour le secteur de la santé.

Une bonne défense débute par la mise en place de protections et d’une surveillance continue pour assurer le déploiement des services d’infrastructure critiques. Exemples : identification des contrôles de gestion et des accès, sensibilisation des salariés aux cyber-risques, mise en œuvre des processus et des procédures de protection des informations. Une telle démarche implique de surveiller les développements et les évènements de cybersécurité pour vérifier l’efficacité des mesures de protection.

4

Réponses aux incidents de sécurité au fur et à mesure qu’ils se produisent.

Investigation, éradication, restauration : l’équipe Unit 42 de réponse aux incidents accompagne à tout moment les établissements de santé victimes d’attaques par ransomware, de compromissions d’e-mails professionnels, de divulgations accidentelles de données et d’autres types d’incidents. Notre mission ? Bloquer immédiatement l’attaque, expulser les intrus, restaurer les systèmes et relancer les opérations le plus rapidement possible, tout en exploitant des solutions d’analyse de données pour examiner l’étendue de l’exposition des PHI à la lumière des obligations HIPAA.