APT : des menaces complexes et ciblées

Les données des patients hébergées dans un système d’information constituent des informations très sensibles et le règlement européen sur la protection des données personnelles, le RGPD, applicable à partir du 25 mai 2018, prévoit de lourdes peines pour un établissement qui aurait laissé exfiltrer ce genre de données en raison d’une insuffisance de protection imputable à lui-même ou à un sous-traitant.

Les menaces persistantes avancées (ou APT – Advanced Persistent Threats) représentent l’un des risques à redouter. Elles ciblent les informations qui peuvent compromettre une organisation, procurer un atout à la concurrence ou encore rapporter de l’argent aux cybermalfaiteurs. Elles sont persistantes car, une fois l’attaque réussie, le vol des données peut avoir lieu pendant une longue période. Et elles sont avancées, non par leur sophistication, mais par la phase redoutable d’ingénierie sociale qui les précède.

L’attaque débute en effet par une prise de renseignements pour connaître la victime. On examine sur les réseaux sociaux ce que les employés de l’organisation ciblée, et leurs « amis », écrivent sur eux et sur leur entreprise, on interroge ces employés par téléphone, on détecte les vulnérabilités du réseau. Cette enquête peut durer des semaines, des mois, pour permettre à l’attaquant de constituer une image très précise du système d’information de sa victime. Il est essentiel de sensibiliser les employés pour qu’ils ne révèlent aucun renseignement confidentiel ni aucunes données techniques sur leur système d’information.

Vient ensuite l’introduction dans le système de la victime. Des employés ciblés reçoivent, par exemple, un e-mail de leur direction avec un fichier PDF attaché. Mais le mail provient de l’attaquant, et le fichier attaché est contaminé. Le maliciel contenu dans le fichier attaché s’introduit dans le poste de travail de l’employé inconséquent. L’attaque a réussi.

Le maliciel s’approprie alors les privilèges d’administrateur du poste de travail avant de se propager aux postes des autres employés qui travaillent sur le même projet ou dans le même secteur. La contre-mesure consiste à lancer une alerte si une augmentation des privilèges se produit sans raison valable.

Puis le maliciel exfiltre les données sensibles vers l’attaquant. Une analyse approfondie des échanges vers l’extérieur peut déceler une telle attaque qui peut durer plusieurs mois ou plusieurs années.

Et lorsque l’attaquant a suffisamment sévi sur le système de sa victime, il détruit le maliciel sans que l’organisation ait connaissance de l’attaque dont elle a été l’objet.

L'auteur : 

Gérard Peliks, président de CyberEdu et directeur adjoint du MBA Management de la sécurité des données numériques de l’Institut Léonard-de-Vinci.

Retrouvez également le compte rendu du Congrès 2017 réalisé par Gérard Peliks sur https://www.apssis.com/le-congres-2017/bilan-2017.html

À propos de l’Apssis

Organisme unique dédié à la sécurité des systèmes d’information de santé, l’Apssis, association Loi 1901 fondée en 2010, a pour objet de constituer et d’animer l’écosystème pluriprofessionnel dédié à la réflexion sur la sécurité numérique de santé. Ses finalités, détaillées dans ses statuts, reposent sur quatre axes : son Congrès national, les manifestations dédiées à ses adhérents, la formation ciblée des personnels de santé et la promotion de la sécurité des SI de santé par l’animation des acteurs. L’Apssis fédère déjà plus de 100 membres, avec la volonté de promouvoir et de dynamiser la sécurisation du système d’information global de santé.
www.apssis.com 

Pour plus d’informations

Le Congrès national étant strictement limité à 100 places, nous invitons celles et ceux qui le souhaitent à s’inscrire auprès du secrétariat : [email protected] ou au 06 29 36 59 95.

Convention de formation établie entre l’établissement et l’association.