Pour les établissements de santé, le succès de la lutte contre les ransomwares est dans la préparation

Des patients nécessitant un traitement d’urgence ont dû être . Selon , un hôpital serait attaqué tous les 3 jours dans le monde. Le ministère des Solidarités et de la santé, conscient de la situation périlleuse, a mis en place une  pour aider le secteur face à l’omniprésence de cette menace.

Les ransomwares « danger imminent » pour l’ensemble des établissements de santé

Cette évolution n’était-elle pas prévisible ? Pour les attaquants qui exploitent des ransomwares et d’autres types de cybermenaces, les hôpitaux et les systèmes de santé ont atteint un niveau de maturité qui fait d’eux des cibles privilégiées. En effet, dans son rapport sur , l’Anssi constate qu’aujourd’hui 11% des attaques informatiques touchent les hôpitaux. Certains facteurs, comme le fonctionnement décentralisé des hôpitaux et autres établissements de santé ou la croissance exponentielle de la quantité de données sensibles relatives aux patients qui sont collectées et stockées sur des supports électroniques (comme pour le dossier patient) par les systèmes de santé, sont directement liés à la nature du secteur. Cette croissance des données de santé a accéléré les menaces comme l’illustre parfaitement l’actualité puisqu’une fuite portant sur des données administratives et médicales parfois ultrasensibles concernant 500 000 patients français et issus de plusieurs dizaines de laboratoires a été révélée il y a quelques semaines. 

La pandémie de COVID-19 est également, de bien des manières, responsable de la hausse brutale des attaques par ransomware visant les établissements de santé. La soudaineté avec laquelle elle a frappé le monde a forcé les établissements de soin à mettre en place des installations d’urgence pour lutter contre le virus, sans que ceux-ci disposent de suffisamment de temps pour mettre au point des infrastructures de sécurité IT robustes afin de se protéger. La hausse des téléconsultations, constituant désormais plus de 11% de l’ensemble des consultations contre moins de 1% avant la crise , en est l’illustration. De surcroît, le basculement presque instantané vers la télémédecine a contribué à créer une quantité astronomique de nouvelles failles de sécurité – ce que les attaquants n’ont pas manqué de remarquer.

Cette tendance a évolué parallèlement au degré de sophistication des groupes d’opérateurs de ransomwares. Au lieu de mener des attaques par force brute à grande échelle, les attaquants utilisant des ransomwares ont rapidement changé leurs méthodes pour mener des frappes plus focalisées, mieux planifiées et plus stratégiquement exécutées – ce qui débouche sur des attaques plus précises, plus difficiles à détecter et à contrer. Il ne s’agit plus d’un produit de masse sorti d’une ligne d’assemblage, mais de malwares sur mesure conçus de manière artisanale. C’est pourquoi des groupes d’opérateurs de ransomwares comme Ryuk, à qui a été attribuée un tiers des attaques par ransomwares l’année passée, ont refait surface en ayant un impact dévastateur sur les établissements de santé. 

Une préparation en 4 points pour lutter efficacement contre la menace

Selon  le budget accordé au numérique, comprenant celui de la cybersécurité, ne représentait que 1 à 2% du budget général des hôpitaux en 2018 contre 4,3% en Espagne ou 4,9% aux Pays-Bas, selon  sur la santé en ligne. 

Pour faire face à l’essor des ransomwares, les établissements de santé doivent être mieux préparés. Cela passe par la mise au point d’un plan stratégique en 4 étapes qui commence par une identification des points faibles du réseau. Cet exercice peut s’avérer plus complexe qu’il n’y parait puisque les établissements de santé exploitent des interfaces multiples d’administrations, avec pour support une équipe réduite dédiée à la cybersécurité. Toutefois, avoir conscience de ses vulnérabilités permettra aux équipes de les renforcer en priorité. 

La deuxième étape consiste à former l’ensemble du personnel à l’échelle de l’établissement en encourageant le développement d’une bonne « hygiène IT ». Il peut s’agir, à titre d’exemple, d’une sensibilisation aux attaques de phishing en leur donnant les clés pour les identifier et les contrer. Quelle que soit la nature de la formation, elle présente l’avantage de faire gagner beaucoup de temps aux équipes en charge de la cybersécurité.  

La troisième étape consiste à s’équiper des bons outils pour préserver le réseau. Ces outils doivent être multidimensionnels afin de répondre aux différents enjeux de sécurité : gestion de la configuration, maintenance des périphériques et des applications métiers à destination des soignants, etc. Autant de points d’attention que les DSIs des centres hospitaliers doivent prendre en compte lors du choix de ces outils.

Enfin, les établissements de santé doivent être capables de déployer une solution de réponse aux incidents extrêmement rapide, car ce qui fait le succès des hackers, c’est leur très grande vélocité à infecter un réseau. 

Ces attaques ne sont pas une fatalité, mais avec les ransomwares, l’horloge ne cesse de tourner et chaque seconde compte. Cette menace n’est pas impossible à contrer, mais pour faire face au problème, les hôpitaux et autres systèmes de santé ne peuvent pas se permettre de perdre du temps et il leur faut immédiatement déployer une combinaison de défenses de sécurité robustes et des mesures de réponse rapides et proactives. Pour leur permettre de rester concentrer sur leur métier et leur mission, ils font de plus en plus souvent appel à des services managés de cyberdéfense qui en externalisant cette compétence assure d’un suivi 24 /24, 7/7 de leurs systèmes de sécurité.

L'auteur 
André Porruncini, Expert santé chez