Cette publication fait partie d'une série de notre blog sur les prévisions presque certaines et les hypothèses moins probables en matière de cybersécurité pour 2017.
En matière de cybersécurité, 2016 fut l'année du ransomware, qui a beaucoup affecté le domaine de la santé. Cette publication présente quelques-unes de mes prévisions sur les formes de menaces que le secteur de la santé devra affronter en 2017.
Les quasi-certitudes :
1. Les ransomwares continueront de cibler la santé
Selon moi, c'est une évidence. L'an dernier, beaucoup d'hôpitaux ont été touchés par un ransomware. En Californie, dans l'Indiana et dans le Kentucky, des hôpitaux ont été durement frappés par divers ransomwares qui visaient des serveurs plutôt que des utilisateurs de PC. Un établissement de Washington a subi une attaque telle qu'il a dû envoyer ses patients vers d'autres antennes médicales pour leur garantir des soins de qualité.
Les délinquants ont choisi le ransomware comme arme de prédilection car les paiements Bitcoin sont anonymes et ce concept commercial offre une méthode optimale pour être payé tout en échappant aux autorités. Ils visent la santé car le vecteur d'attaque du très efficace ransomware version SAMSA passe par les serveurs d'application JBOSS non protégés, situés dans le DMZ (la partie d'un réseau directement reliée à internet). Ce type de serveurs équipe beaucoup d'hôpitaux et les attaques se font de plus en plus nombreuses.
Avec un peu de chance, l'information a suffisamment été relayée auprès des organisations de santé pour que les failles de JBOSS aient été réparées ou au moins atténuées. Toutefois, ce phénomène n'est pas près de s'arrêter. En 2017, les ransomwares continueront de viser la santé par les voies habituelles : téléchargements « drive-by » en ligne, e-mails avec liens ou pièces jointes malveillantes et serveurs non protégés dans le DMZ.
2. Le sur-partage accidentel dans les applications Saas va augmenter et provoquer une perte des données patient
Le personnel de santé adore les applications SaaS de partage de fichiers sur le cloud, car elles permettent de partager des fichiers aisément, chose souvent difficile en milieu hospitalier. Avec les versions publiques de ces services, le problème est que c'est à l'utilisateur de contrôler qui peut accéder aux fichiers, et que par mégarde, il est assez facile de paramétrer un fichier contenant des données médicales protégées (protected health information/PHI) et de le partager avec tout Internet. Les versions professionnelles de Box, par exemple, autorisent les administrateurs à restreindre l'accès public, mais beaucoup d'établissements ne bloquent pas les versions libres.
Plus tôt dans l'année, une de mes publications sur le blog abordait le sujet de la sécurité du SaaS et proposait quelques recommandations pour amoindrir le risque. Tant que les organisations de santé ne fourniront pas de méthode approuvée pour partager des fichiers en interne comme en externe et qu'elles n'auront pas bloqué les sites de partage non approuvés en amont, nous avons de grandes chances de déplorer des fuites de données patient dues à un sur-partage accidentel.
Les spéculations
1. Pour la première fois, une cyberattaque sur un appareil médical causera un préjudice attesté à un patient
Aujourd'hui, beaucoup d'appareils médicaux utilisés par les établissements de soins sont dépourvus d'un système élémentaire de sécurité. Souvent, ces appareils ne bénéficient pas de la protection des terminaux ni des correctifs habituels qui fonctionnent avec des systèmes d'exploitation dépassés tels que Windows XP. Pour ces raisons, ils constituent des cibles privilégiées pour les cyberattaques et les logiciels malveillants.
À ce jour, une seule ordonnance de la FDA visant à retirer les dispositifs médicaux spécifiques des hôpitaux a été confirmée. Selon moi, s'il n'y en a eu qu'une seule, c'est parce que la recherche et la vigilance dans ce domaine sont insuffisantes. Peu d'études ont été menées car les dispositifs médicaux sont coûteux et qu'il n'y a pas eu d'incitation financière pour effectuer les recherches nécessaires sur la sécurité, afin de détecter et de corriger leurs failles.
Les délinquants motivés par l'argent utilisent les ransomwares car ils offrent un gain rapide et anonyme, mais certains pirates n'attaquent que parce qu'ils en ont la possibilité. Juste pour le plaisir. Jusqu'ici, nous n'avons répertorié aucun cas de dommage physique sur un patient en lien avec la cyberattaque d'un dispositif médical, mais je crois qu'il ne s'agit que d'une question de temps avant qu'un pirate ne profite des vulnérabilités les plus importantes des réseaux hospitaliers et des dispositifs médicaux pour créer un précédent.
Quelles sont vos prévisions en matière de cybersécurité du secteur de la santé ? N'hésitez pas à partager votre avis dans les commentaires et ne manquez pas la prochaine publication de cette série, qui sera dédiée à nos prévisions sur les services financiers.