Attaques de ransomwares : comment les établissements de santé doivent réagir
Adrien Gendre
—06 octobre 2022
—7 min de lecture

Il fut un temps où les cybercriminels s’interdisaient de toucher aux établissements de santé. Occupés à traquer d’autres secteurs plus lucratifs, la santé ne les intéressait pas suffisamment. La situation a brusquement changé au début de la pandémie de COVID-19. Les attaques de ransomware ont ainsi bondi de 255 % en 2020. Une flambée qui dit tout du nouveau regard que posent les cybercriminels sur le secteur. Alors que la pandémie s'essouffle et que tous les pays tentent de reprendre un rythme normal, les établissements de santé sont toujours la proie des attaques. De fait, le nouveau monde est aussi celui d’une nouvelle réalité pour le secteur de la santé, qui ne doit pas fermer les yeux face à la menace.
En août 2022, une attaque de ransomware dirigée contre Le Centre hospitalier sud francilien (CHSF) de Corbeil-Essonnes a paralysé des systèmes critiques de l’infrastructure et contraint à l’évacuation des patients. Entre-temps, la direction de l’hôpital a dû négocier une demande de rançon de 10 millions d’euros formulée par LockBit, un cybergang prolifique qui s’était déjà fait remarquer en affirmant publiquement qu’il épargnerait les établissements et organismes de santé. Un tel incident prouve que les hôpitaux ne peuvent plus compter sur les remords des hackers : ils doivent désormais prendre en main leur propre cybersécurité.
Pour les responsables et cadres de santé, la mise en place de défenses efficaces implique de cerner les raisons des attaques de ransomware et d’identifier les mesures cruciales pour s’en protéger. Dans cet article, nous examinerons les cinq motifs pour lesquelles les hackers ciblent les établissements de santé français. Nous présenterons ensuite quatre mesures que votre infrastructure peut adopter pour renforcer sa posture de cybersécurité.
Les raisons des attaques des organismes de santé par les acteurs malveillants
Le soudain intérêt des hackers pour le secteur de la santé s’explique par cinq raisons, et elles sont en partie du ressort des responsables de santé.
1. Continuité d’activité : un impératif
Les organismes de santé jouent un rôle essentiel en apportant les soins nécessaires aux personnes les plus vulnérables. Ce rôle littéralement vital suppose toutefois quelques risques non négligeables. Pour les patients, les travailleurs de la santé et les autorités, les hôpitaux doivent rester en permanence ouverts et opérationnels. Cette continuité opérationnelle est un argument de poids pour les hackers, et leur permet d’exiger de lourdes rançons.
2. Dossiers médicaux : un recel lucratif
La rançon n’est pas la seule motivation des hackers qui s’en prennent aux hôpitaux. Plus précieux encore, les dossiers médicaux sont particulièrement prisés par ces derniers. Et pour cause : sur le dark web, la vente d’un seul dossier médical peut rapporter jusqu’à 250€, soit près de 50 fois plus qu’une carte de crédit volée. Mais pourquoi ce prix mirobolant ? Tout simplement parce que les cybercriminels qui font l’acquisition de données médicales peuvent s’en servir pour usurper l’identité du patient, falsifier des documents médicaux ou des ordonnances, et bien plus encore.
3. Une double extorsion à la clé
Les organismes de santé s’exposent par ailleurs au risque de double extorsion. Dans ce cas, les hackers subtilisent des données, demandent une rançon, puis menacent de faire fuiter les informations sensibles s’il ne reçoivent pas l’argent. Dans le cas d’une fuite avérée, les organismes de santé risquent en prime de devoir payer, et au prix fort, une amende réglementaire. En 2022, suite à la fuite des données de 500 000 patients français, la CNIL a ainsi infligé une amende de 1,5 M€ à Dedalus Biologie, une société de traitement des données au service de laboratoires d’analyses médicales.
4. Les systèmes informatiques de santé toujours plus vulnérables
Si les hackers s’en prennent aux établissements de santé, c’est aussi parce qu’ils sont particulièrement vulnérables aux attaques et au chantage. De nos jours, les hôpitaux doivent protéger une large surface d’attaque composée de très nombreux appareils, de tiers et d’applications logicielles.
L’émergence des appareils médicaux connectés n’a eu de cesse de creuser les failles des systèmes informatiques utilisés dans le domaine de la santé. Des scanners à l’équipement chirurgical, ces appareils collectent, traitent et transmettent des informations critiques, intègrent des fonctions de traitement des dossiers médicaux partagés (DMP) et autres systèmes essentiels, en plus de faciliter l’administration des soins aux patients. Pourtant, et malgré leur importance, ces appareils sont loin d’être suffisamment protégés. Ils constituent de ce fait un point d’entrée de choix pour les hackers qui souhaitent s’introduire dans le système.
Ce constat est étayé par une étude récente sur les vulnérabilités informatiques dans le domaine de la santé. L’analyse de 56 fournisseurs d’appareils, applications et logiciels médicaux a permis de mettre en évidence 624 failles exploitables par des cybercriminels, dont 29% présentaient un risque élevé. L’étude a également découvert deux vulnérabilités bien connues pour être exploitées par les groupes de ransomware. Une d’entre elles concernait un produit médical fabriqué par bioMérieux, une entreprise française spécialisée dans le diagnostic in vitro.
Tout aussi indispensables que les appareils, les organismes de santé dépendent d’un vaste réseau de fournisseurs, ce qui multiplie de ce fait le nombre de failles potentielles au sein du réseau interne. Dans la plupart des cas, les fournisseurs de soins de santé octroient aux fabricants d’appareils et développeurs de logiciels un accès à distance à leurs réseaux internes, sans vérifier la qualité de leur sécurité ni leurs pratiques de gestion des données. Ces tiers doivent donc accéder à des services critiques, sans que les organismes de santé n’aient le temps ni les moyens d’évaluer la position des fournisseurs en matière de cybersécurité.
5. L’échec de la sécurité basée sur le périmètre
Alors qu'elle avait sa place à l'époque des serveurs sur site et des applications héritées, l'essor du cloud computing, du travail à distance et des cybermenaces sophistiquées l'ont rendue obsolète.
Le périmètre de sécurité désigne une stratégie cybersécuritaire consistant à se protéger des menaces externes tout en accordant une confiance implicite à tous les éléments internes au réseau.
Dans le contexte actuel, trois aspects contribuent à rendre cette approche particulièrement inefficace au sein des organismes de santé. Premièrement, le périmètre en lui-même a changé. Il n’est plus limité au domaine physique de l’établissement de soins, puisqu’il s’étend partout où se connectent les télétravailleurs et fournisseurs. Deuxièmement, l’infiltration d’un réseau interne est un jeu d’enfant pour les hackers, ce que confirme le nombre de vulnérabilités exposées plus haut. Troisièmement, une fois le réseau infiltré, le manque de contrôle des accès sécurisés leur laisse tout loisir d’entreprendre un mouvement latéral et ainsi d’infecter des systèmes critiques et lancer des attaques malveillante
Attaques de ransomwares : La réaction des organismes de santé
Les organismes de santé naviguent actuellement dans un déluge de menaces dont le niveau n’est pas prêt de baisser. D’une part, les gains sont toujours aussi alléchants pour les hackers. D’autre part, rien n’indique que les vulnérabilités seront corrigées dans un avenir proche. En France, le marché des dispositifs médicaux est déjà évalué à 30 milliards d’euros, avec une forte croissance prévue au cours des prochaines années. Dans ce contexte, nous anticipons une augmentation du nombre de fournisseurs et dispositifs médicaux, et donc un élargissement de la surface d’attaque, déjà très vaste.
Comment alors les établissements de santé peuvent-ils renforcer leurs défenses face aux attaques de ransomware ? La réponse a un coût, puisqu’il s’agit d’investir dans des mesures préventives.
1. Développer des systèmes d’évaluation des risques et responsabiliser les partenaires logistiques
Les fournisseurs sont et seront toujours un maillon indispensable de la chaîne de valeur dans le domaine de la santé. De leur côté, les établissements de santé doivent sans cesse investir dans des mesures supplémentaires afin d’évaluer les contrôles de sécurité des fournisseurs, éviter ceux qui présentent des risques et responsabiliser leurs partenaires en matière de gestion saine des données et des pratiques de cybersécurité.
2. Sécurité Zero Trust : un must
Dans un monde où réalité physique et monde virtuel n’existent plus de façon indépendante, les établissements de santé ne peuvent se passer de la sécurité Zero Trust. Cette approche stratégique est absolue : aucun maillon n’est considéré comme digne de confiance, qu’il soit situé en dehors ou à l’intérieur de votre réseau. Elle exige l’authentification, l’autorisation et la validation des utilisateurs à chaque interaction numérique, empêchant ainsi les acteurs malveillants de se déplacer latéralement au sein du réseau infiltré pour y déployer un ransomware. L’approche Zero Trust associe des outils d’authentification tels que l’authentification à deux facteurs, des contrôles d’accès et d’autres mesures.
3. Investir dans une solution anti-ransomware
Premier vecteur d’attaque pour les ransomwares, l’email représente la faille principale des établissements de santé. Pour cette raison, les établissements de santé doivent investir dans la détection des menaces et la technologie de réponse basées sur l’IA, capables de lutter contre les menaces avancées véhiculées par email.
Les attaques de ransomware commencent souvent par un email comportant un lien malveillant ou un malware caché dans les pièces jointes. Ces cybermenaces peuvent échapper à la vigilance des défenses traditionnelles grâce à des techniques sophistiquées. C’est par exemple le cas des malwares polymorphes, capables de modifier leur représentation en fonction de l’environnement pour éviter d’être détectés. Les solutions de sécurité de l’email alimentées par l’intelligence artificielle fournissent une couche de sécurité nécessaire. Elles exécutent des analyses comportementales et heuristiques des emails, liens et pièces jointes à la recherche d’anomalies suspectes qu’on retrouve dans tous les malwares, et sont capables de repérer les variants habituellement indétectables par les filtres d’email basés sur la réputation et la signature.
Par exemple, Vade Cloud a recours à l’analyse comportementale pour examiner en temps réel les emails et pièces jointes et détecter les malwares polymorphes qui seraient autrement dissimulés dans un environnement sandbox. De même, la solution de détection et de réponse basée sur l’IA scanne en continu les emails après leur remise pour remédier les menaces en temps réel grâce aux renseignements issus des 1,4 milliards de messageries protégées par Vade dans le monde.
4. Déployer une formation de sensibilisation des utilisateurs
Autre maillon faible de la chaîne que les établissements de santé doivent prendre en compte : les utilisateurs. La différence entre une attaque de ransomware réussie ou ratée tient souvent à la capacité de l’utilisateur à détecter une menace et à y répondre, comme c’est le cas des emails de phishing et spear-phishing.
Pour toutes ces raisons, les établissements de santé doivent investir dans la formation des utilisateurs, qui renforce votre cybersécurité. Les formations les plus efficaces confrontent les utilisateurs à des cybermenaces grâce à des exemples personnalisés et contextualisés qui sont présentés au moment opportun. Vade Threat Coach™ forme les utilisateurs en temps réel grâce à du contenu personnalisé affiché au moment où ils interagissent avec un email de phishing.
Attaques de ransomwares : Le chemin à parcourir
Les attaques de ransomware font partie du paysage. Toutefois, vous avez la possibilité de surprendre les cybercriminels en choisissant une méthode de défense appropriée. La prise de conscience est la première étape : en comprenant pourquoi les hackers vous ciblent et en identifiant les solutions dont vous avez besoin pour éviter les attaques de ransomware, vous créez des conditions propices à la continuité d’activité, au profit de vos patients, de votre personnel et votre communauté.