Le secteur de la santé… de plus en plus ciblé par les ransomwares
Le secteur de la santé est devenu une cible privilégiée des cybercriminels. Pour la valeur des dossiers médicaux.
Le secteur de la santé aurait-il plus de valeur pour les cybercriminels que le secteur financier ? Au vu de la valeur des informations, oui. Les informations médicales s’échangent pour environ 60 EUR par dossier, plus cher que les quelque 40 EUR demandés pour l’achat d’informations de cartes de crédit…
Les banques et autres institutions financières sont désormais bien protégées. L’inconvénient est que les cybercriminels jettent alors leur dévolu sur des cibles plus fragiles, moins bien défendues, mais qui abritent des informations tout aussi précieuses. Les hôpitaux sont un excellent exemple. Partant du principe que, n’étant pas une banque, ils ont peu à craindre, de nombreux fournisseurs de soins de santé nourrissent l’espoir de ne jamais être attaqués. Leur conseil d’administration, tout comme leurs employés, sont souvent inconscients des conséquences d’une cyber-attaque sur la continuité de leurs activités et leur réputation. Pourtant, le secteur des soins de santé est devenu une cible privilégiée des cybercriminels.
«Les hôpitaux possèdent beaucoup de renseignements personnels et c’est précisément le type d’informations que les cybercriminels recherchent, explique Martin Zandvliet, spécialiste de la cybersécurité chez Fox-IT. Ces données sont échangées sur Internet, où l’identité de patients, de clients et d’employés se vendent à prix d’or. Les informations médicales s’échangent pour environ 60 EUR par dossier, plus cher que les quelque 40 EUR demandés pour l’achat d’informations de cartes de crédit… C’est dire la nécessité de protéger les informations de soins de santé !»
Faible rançon
Les cybercriminels envoient généralement des e-mails de phishing aux diverses entreprises et institutions, contenant un lien sur lequel les employés sont invités à cliquer. Lorsque quelqu’un de moins prudent clique sur le lien, un ransomware s’installe sur l’ordinateur et bloque l’accès aux documents et applications. De plus en plus de récits circulent, qui relatent les mésaventures d’hôpitaux n’ayant récupéré l’accès à leurs data qu’après avoir une rançon. Des établissements en Allemagne (Lukas Krankenhaus in Neuss en Klinikum Arnsberg), aux USA (Hollywood Presbyterian Medical Center), mais aussi en Belgique en ont été victimes. Pour mémoire, les données de patients de l’hôpital de Malines et Malle sont restées en ligne un mois entier à cause de failles de sécurité sur leur site web.
«La rançon est souvent peu élevée, poursuit Martin Zandvliet. Le montant est généralement de quelques bitcoins, pour s’assurer qu’un établissement en pleine panique procédera au paiement sans trop se poser de questions, en pensant que c’est la meilleure solution. Une seconde raison est que l’établissement souhaite récupérer l’accès à ses données et applications le plus rapidement possible. Enfin, il existe une troisième raison, d’ordre financier : il est souvent estimé que l’intervention d’un spécialiste coûtera plus cher que de payer les malfrats. Le fait que les montants sont peu élevés sont aussi une preuve que les attaques ne visent personne en particulier. Il faut donc que toutes les victimes, toutes les bourses puissent payer. Si un cybercriminel savait qu’il était en train de rançonner une institution disposant de moyens financiers importants, nul doute que le montant aurait été beaucoup plus élevé.»
Facile à attaquer
L’idée qu’il est relativement facile d’attaquer une institution n’est pas farfelue. En effet, les établissements de soins santé, en particulier les hôpitaux, sont des lieux publics au va-et-vient incessant. «Contrairement aux banques et aux bureaux qui sont plus souvent fermés au public, ils constituent des proies faciles, indique Martin Zandvliet. En outre, de plus en plus d’équipements, médicaux ou non, sont connectés au réseau, tout comme les visiteurs, qui se connectent via leurs propres appareils mobiles. L’expérience montre que les systèmes médicaux sont souvent protégés par des mots de passe rudimentaires et peu efficaces, qui ne sont jamais changés, ce qui augmente fortement les risques. En outre, de nombreux dispositifs médicaux comme les scanners IRM et les tensiomètres USB n’ont même pas de protocoles de sécurité. Les ordinateurs de bureau qui ne se déconnectent pas des réseaux Wi-Fi constituent également un risque majeur».
Continuité, image, lois et règlements
Pour les établissements de soins de santé, en particulier les hôpitaux, les principaux risques sont la perturbation de la continuité, l’atteinte à la réputation et le non-respect des lois et règlements. Une attaque informatique peut menacer l’image de sérieux d’un établissement ou engendrer d’énormes pertes financières. Les patients et investisseurs peuvent perdre confiance, ce qui peut mener à des conséquences importantes. En outre, lorsque l’équipement d’une salle d’opération est immobilisé par un ransomware, la sécurité physique d’un patient entre en jeu. Enfin, l’institution peut encourir une lourde amende s’il s’avère que les lois et règlements en matière de sécurité n’ont sont pas respectés. Pensons au GDPR qui sera bientôt pleinement fonctionnel.
Vers une solution réaliste étape par étape
La situation particulière des institutions de soins de santé nécessite une approche progressive. Pour être en mesure de répondre à toutes les situations décrites ci-dessus, il ne serait pas réaliste de proposer un projet universel. La prise de conscience et les changements de culture d’entreprise prennent déjà un certain temps, sans oublier les contraintes financières et le manque de ressources nécessaires pour mettre en œuvre ces mesures.
«Il faut commencer par identifier les risques techniques et organisationnels et en les classer selon le danger, conclut Martin Zanvliet. Ensuite mettre en place une sécurité en fonction des moyens financiers et organisationnels.»