Cybermenaces dans le secteur santé : comprendre pour protéger
08 avril 2021 - 14:26,
Tribune
- Par Philippe Elie, InfobloxA une époque où les services de santé sont déjà sous pression, partout dans le monde, ce secteur reste l’une des principales cibles des attaques cyber. Les données relatives aux soins des patients fournissent tous les éléments dont les cybercriminels ont besoin pour falsifier des documents et accéder à des applications financières, aussi ces attaques ont considérablement augmenté. L’Agence nationale de la sécurité des systèmes d’information (Anssi) a noté une hausse de 225 % des cyberattaques par ransomware, et malheureusement, c’est souvent les hôpitaux qui sont victimes.
Il est important de connaître et de comprendre les menaces auxquelles les hôpitaux et les institutions de santé sont confrontés, afin de trouver les meilleures solutions.
Ransomware dans des emails de phishing
Les ransomwares restent une menace majeure pour les institutions de santé. Les ransomwares se propagent souvent par le biais d'e-mails de phishing, qui piègent les utilisateurs en les incitant à cliquer sur des URL, à télécharger des documents, ou à cliquer sur des pièces jointes. La présence de ransomware au sein des systèmes informatiques du secteur santé augmente non seulement le risque et mais aussi la responsabilité légale des institutions concernées.
Attaques ciblées sur les DNS
La fréquence et le coût des attaques DNS ne cessent d’augmenter. Les pirates peuvent cibler directement le secteur de la santé avec des attaques par déni de service via le DNS. Ce dernier peut également être utilisé pour des communications discrètes avec des serveurs de commande et contrôle, pour le vol et l'exfiltration de données, ou pour l'établissement de connexions avec des domaines chargés de logiciels malveillants, entre autres. Les malwares capables de modifier le DNS constituent une autre menace potentielle. Ces derniers modifient les paramètres DNS d'un système, et permettent aux cyber-attaquants de modifier la configuration du routeur, qui détourne alors les utilisateurs vers des sites Web contrôlés par les pirates. Cette attaque, généralement transparente pour les utilisateurs, semble fonctionner comme un résolveur DNS standard. Même avec les meilleures défenses, sans une sécurité fondamentale, ce mélange de tactiques d'attaques utilisant le DNS peut être impossible à identifier et a fortiori, on ne peut y remédier.
Piratage de dispositifs médicaux et menaces liées à l’IoT
Le piratage d’appareils médicaux représente un risque permanent pour les équipes de cyberdéfense du secteur de la santé. Ces dispositifs ne peuvent généralement pas prendre en charge la sécurité des points d’accès ou d'autres logiciels. Ainsi, ils n'ont pas intrinsèquement la capacité d'identifier les activités malveillantes, ou de les bloquer. Une fois que les logiciels malveillants circulent dans les réseaux hospitaliers, ils peuvent facilement attaquer les appareils médicaux. Une visibilité et une inspection étroites du trafic émanant de ces appareils peuvent aider à identifier et à bloquer les menaces, avant qu'elles n'entraînent une violation des données.
Les médecins en déplacement et les appareils mobiles non protégés
Dans ce contexte où la force médicale est mobilisée au maximum, les médecins bougent régulièrement : entre leur cabinet, les hôpitaux, les établissements de soins spécialisés et les laboratoires de diagnostic. Ainsi, leurs appareils mobiles se déplacent en permanence entre différents réseaux, présentant un point d’accès potentiel pour des logiciels malveillants.
DNS tunneling
Les acteurs de menace ont appris que le DNS est souvent une cible non protégée au sein des réseaux d'entreprise. Le “DNS tunneling” permet aux pirates de recueillir des données, puis de les exfiltrer dans une chaîne de requêtes DNS. Cela semble suivre la norme DNS et contourne donc toutes les autres solutions DNS de l'établissement de santé.
L'outil anchor_dns, qui utilise le DNS comme plan de contrôle pour exécuter des scénarios de commande PowerShell lors d’une attaque, est surtout dangereux. Il exploite le DNS comme canal principal pour exfiltrer des données, sans être détecté. Les acteurs de la menace qui ont conçu anchor_dns savent que la plupart des architectures de sécurité historiques n’arrivent pas à distinguer l'activité DNS légitime de celle qui est malveillante pour l'exfiltration de données. Ils utilisent anchor_dns pour communiquer entre le point terminal ciblé et les serveurs de commande et contrôle, via un tunnel DNS. Cette capacité permet aux cybercriminels d’imiter le trafic légitime et d'échapper à la détection.
Aborder l'analyse des risques avec une sécurité fondamentale
Face à ce contexte alarmant, les établissements de santé doivent protéger en même temps les utilisateurs, les appareils et les systèmes de l'entreprise, où qu'ils se trouvent, en renforçant et en optimisant leur posture de sécurité fondamentale. Une solution dotée d'une architecture hybride est essentielle pour étendre la protection depuis les sites principaux, jusqu’aux sites distants et aux réseaux de télétravail.
La plupart des cyberattaques menées en 2020 reposaient sur l'accès à des domaines via les services DNS. Le DNS traduit le nom de l'URL en code nécessaire pour la connectivité.
Ainsi, c'est le moment idéal pour identifier et bloquer les activités malveillantes ou suspectes grâce à une sécurité réseau renforcée, qui est souvent négligée par les hôpitaux, les cliniques et les cabinets médicaux de taille moyenne, qui utilisent par défaut le DNS des anciens produits Microsoft ou du fournisseur d'accès local.
La sécurité réseau fondamentale repose sur les données DDI, qui concernent la fourniture des services de réseau de base. Les données DDI comprennent celles du DNS, du protocole de configuration dynamique des hôtes (DHCP) et de la gestion des adresses IP (IPAM). L'utilisation du DNS comme point de contrôle essentiel garantit que chaque demande, qu'elle vienne d’un ordinateur portable ou d'un appareil de santé connecté, est inspectée pour en déterminer la fiabilité. La sécurité fondamentale permet une identification anticipée des connexions à des domaines malveillants et non-conformes aux politiques de sécurité, avant que des logiciels malveillants ne puissent être téléchargés, ou que des données soient exfiltrées. Les données DDI peuvent aider à faire avancer plus rapidement les enquêtes sur les alertes, ce qui permet également de réduire les risques et de mieux répartir les ressources financières.
En outre, on observe une tendance à adopter des initiatives telles que le zéro-trust et MITRE ATT&CK. Les bases de la sécurité zéro-trust couvrent les stratégies techniques dont les hôpitaux ont besoin pour mieux protéger les points d'accès, les serveurs et les appareils médicaux. MITRE ATT&CK fournit un lexique commun et clair que l'équipe SOC peut utiliser, et bien plus encore. Ces stratégies et outils font partie de la palette que les institutions de santé doivent prendre en compte pour combattre et venir à bout des menaces croissantes.
Les données relatives à la santé restent une cible prisée des pirates. Elles sont également la cible du crime organisé, de par leur caractère exhaustif qui permet de les utiliser dans des tentatives de vol d'identité et de fraude financière. Il faut savoir que ces données peuvent se vendre jusqu'à 1 000 $ par enregistrement sur le dark web. Les dossiers de santé comprennent des informations personnelles : date de naissance, numéro de sécurité sociale ou de retraite, données d'assurance, historique des adresses, et bien plus encore.
L'environnement réglementaire relatif à la confidentialité des données continue à se développer à l'échelle mondiale et il est important de mettre en place les stratégies pour s’y conformer. Les événements actuels comme les récentes cyberattaques nous montrent que le secteur de la santé n'est pas tout à fait prêt pour répondre aux menaces et les stopper, surtout lorsqu’elles sont réalisées par des acteurs bien financés et aux méthodes sophistiquées. En France, pour adresser ce problème toujours croissant, l’Etat a dévoilé fin février une stratégie pour combattre les cyberattaques visant les hôpitaux, comprenant 350 millions d’euros pour renforcer la cybersécurité des établissements de santé français.
Mais même avec l'aide du gouvernement, le risque ne disparaîtra pas. Les atteintes aux données sensibles des patients continueront de se produire. La sécurité des établissements de santé gagne rapidement en maturité mais le chemin à parcourir est encore long.
Par Philippe Elie, Directeur Europe du Sud, Infoblox