Cybersécurité du secteur de la santé : les principaux défis en 2023
Adrien Gendre
—17 janvier 2023
—5 min de lecture
Les menaces contre la cybersécurité restent un problème central pour les organisations de santé, comme en témoigne la récente attaque dont a été victime le Centre Hospitalier de Versailles. L’hôpital a en effet été contraint de couper ses systèmes informatiques, de ressortir ses dossiers papier et de transférer certains patients dans des établissements proches.
Cette attaque illustre un scénario que l’on voit bien trop souvent, dans lequel des menaces informatiques perturbent très fortement les services essentiels assurés par ces établissements. Alors que les responsables des services de santé doivent déjà gérer de nombreuses priorités sans lien avec la cybersécurité, leur temps et leur attention sont toujours plus phagocytés par les hackers.
Dans cet article, nous allons nous pencher sur les principales menaces qui pèsent sur la cybersécurité du secteur de la santé et étudier les solutions qui peuvent protéger votre organisation et vos parties prenantes.
1. Menaces pour la cybersécurité : menaces transmises par email
Parmi les menaces qui pèsent sur le secteur de la santé, les ransomwares comptent parmi les plus inquiétantes. Mais comme d’autres menaces, les ransomwares sont la plupart du temps distribués par un simple email. Au 3e trimestre 2022, Vade a ainsi détecté pas moins de 256,4 millions d’emails constituant une tentative de phishing ou renfermant un malware. Ces chiffres illustrent la quantité impressionnante de menaces véhiculées par les emails et témoignent de l’efficacité de ce vecteur.
Plusieurs facteurs expliquent pourquoi les cybercriminels apprécient tant les emails et pourquoi ils sont le principal danger auquel est exposée votre organisation.
- 1. Envoi en masse. Les hackers peuvent facilement multiplier les menaces et compromettre des comptes qui leur permettent de lancer des attaques plus ambitieuses, comme des campagnes de spear phishing, des techniques d’exfiltration de données et bien plus encore.
- 2. Efficacité. L’email permet aux hackers d’accéder directement à votre plus grande vulnérabilité : les utilisateurs. En effet, l’humain est le maillon faible de votre cybersécurité.
- 3. Absence de sécurité. Nombre d’organisations de santé ne disposent pas d’une solution de sécurité de l’email à même de bloquer les menaces les plus sophistiquées du moment. Les outils de sécurité de l’email classiques, notamment les passerelles de messagerie sécurisées, ainsi que les outils intégrés des suites de productivité, comme Microsoft 365 et Google Workspace, en sont par exemple incapables.
Pour vous prémunir des menaces véhiculées par les emails, vous devez déployer une solution de sécurité de l’email qui propose les fonctions suivantes.
- 1. Détection des menaces basée sur l’IA. La détection des menaces basée sur l’IA vous permet de bloquer les variantes les plus complexes, mais aussi celles qui n’ont pas encore été observées. Recherchez des solutions s’appuyant sur des algorithmes de machine learning, de natural language processing et de Computer Vision. Ces technologies sont à même de détecter toutes les variantes des menaces.
- 2. Réponse aux menaces basée sur l’IA. Aucun filtre de messagerie n’est en mesure de repérer absolument toutes les menaces. Par conséquent, vous avez aussi besoin de solutions pouvant neutraliser celles qui parviennent jusqu’aux boîtes de réception. Recherchez des solutions qui suppriment automatiquement les menaces et permettent aux administrateurs d’analyser les emails suspects et d’y répondre, qu’ils aient été signalés par le système ou les utilisateurs.
- 3. Informations sur les menaces. L’IA n’est véritablement intéressante que si elle est alimentée par des données de qualité, pertinentes et actualisées. Ces données sont indispensables pour lui permettre d’apprendre et pour améliorer l’efficacité et la précision des algorithmes. Recherchez une solution de sécurité de l’email qui s’appuie sur un ensemble de données regroupant des informations capturées par la technologie et issues des utilisateurs. Vade fait reposer ses solutions d’IA sur les informations issues de plus de 1,4 milliard de boîtes aux lettres basées dans le monde entier.
2. Menaces pour la cybersécurité : vulnérabilités humaines
Les utilisateurs sont le maillon faible de votre surface d’attaque. Cette généralité est d’autant plus vraie dans le monde de la santé. Ce secteur exigeant mobilise le temps et l’attention des utilisateurs, ce qui favorise des pratiques peu recommandées, comme la réutilisation de mots de passe, le stockage d’informations patient sur des appareils personnels, etc. Les utilisateurs ont également du mal à repérer les cybermenaces qui ne sont pas évidentes. Ils peuvent ainsi facilement être victimes de nombreuses menaces sophistiquées distribuées par email : tentatives de phishing et de spear phishing ou encore malwares.
La vulnérabilité des utilisateurs est d’autant plus inquiétante lorsque ceux-ci ont accès à des systèmes d’information et des données stratégiques. Un rapport de 2021 issu de l’analyse des données relatives au secteur de la santé en France, en Allemagne, au Royaume-Uni et aux États-Unis a révélé qu’un travailleur de ce secteur avait en moyenne accès à 31 000 fichiers sensibles dès son premier jour de travail. L’étendue de cet accès fait des professionnels de santé une cible de choix pour les hackers et explique pourquoi ils sont à l’origine de nombreuses violations de données pouvant exposer votre organisation à de graves difficultés financières, réputationnelles, juridiques et réglementaires. Par exemple, une violation de données peut coûter aux organisations de santé jusqu’à 20 millions d’euros ou 4 % de leur chiffre d’affaires mondial en raison du non-respect du Règlement général sur la protection des données (RGPD).
Pour colmater les vulnérabilités humaines, vous devez adopter deux stratégies
- 1. Formation des utilisateurs. La formation de sensibilisation permet d’améliorer la cyberhygiène et d’empêcher les utilisateurs de faire les erreurs susceptibles d’aboutir à la compromission d’un compte. Cette sensibilisation doit notamment leur expliquer comment repérer les tentatives de phishing et y répondre. Pour une efficacité maximale, elle ne doit pas seulement se dérouler en salle de classe ou s’appuyer sur des simulations génériques, mais fournir automatiquement et en continu des instructions personnalisées au bon moment, grâce à l’IA. Par exemple, Vade Threat Coach™ dispense des instructions personnalisées aux utilisateurs dès qu’ils sont confrontés à une cybermenace.
- 2. Création d’une culture de la cybervigilance. La cybervigilance va plus loin que la sensibilisation en donnant aux utilisateurs les clés pour devenir une force pour votre surface d’attaque. Une culture de cybervigilance encourage les utilisateurs à signaler proactivement les menaces éventuelles à leurs administrateurs. Cette stratégie renforce leur formation en la mettant en pratique et accroît la sécurité de votre organisation en faisant en sorte que la cybersécurité reste à l’esprit de chacun, au même titre que les autres priorités du quotidien professionnel.
3. Menaces de cybersécurité : vulnérabilités informatiques
La surface d’attaque de nombre d’organisations de santé regorge de vulnérabilités informatiques qui posent des problèmes de cybersécurité à chaque instant. Ces vulnérabilités sont liées au grand nombre de dispositifs médicaux connectés à Internet de manière non sécurisée, à l’utilisation de systèmes obsolètes et à une supply chain particulièrement importante.
Comme les emails, les dispositifs médicaux offrent aux hackers un moyen d’accès facile aux réseaux, ce qui leur permet ensuite de procéder à une reconnaissance interne, de se déplacer librement au sein du réseau et de lancer des attaques par ransomware ou de spear phishing. Les systèmes obsolètes présentent des failles intrinsèques liées à des problèmes de configuration avec les applications modernes, à l’absence de correctifs ou les deux. Enfin, la supply chain introduit des vulnérabilités en étendant la surface d’attaque aux réseaux et terminaux des fournisseurs qui se connectent à votre environnement interne.
Pour combler ses vulnérabilités informatiques, votre organisation de santé doit opter pour les solutions suivantes.
- 1. Adoptez un cadre d’évaluation du risque pour les dispositifs médicaux. Il est important de comprendre les exigences de sécurité et les vulnérabilités des dispositifs médicaux intégrés à votre réseau interne. Pour y parvenir, vous devez procéder à une évaluation continue, cohérente et exhaustive de chaque dispositif médical avant de l’acheter. L’adoption d’un cadre d’évaluation du risque pour les dispositifs médicaux peut faciliter ce processus et éclairer vos décisions d’achat.
- 2. Envisagez d’éliminer les technologies obsolètes. Vous devez également essayer de remplacer chaque fois que cela est possible vos systèmes obsolètes par des systèmes plus actuels. Si vous n’avez pas la possibilité de remplacer tous vos systèmes obsolètes, concentrez-vous sur les plus anciens, en particulier ceux pour lesquels le fournisseur ne publie plus de correctifs.
- 3. Adoptez un cadre d’évaluation du risque pour les fournisseurs. Comme pour les dispositifs médicaux, votre organisation doit adopter un cadre d’évaluation du risque de sécurité que présentent vos partenaires potentiels. Ce cadre doit inclure une évaluation détaillée de leurs mesures de sécurité et de leur engagement à les maintenir, mais aussi prévoir les responsabilités contractuelles à mettre en place.
Menaces pour la cybersécurité : comment répliquer
Pour les hackers, le secteur de la santé constituent des cibles de choix. Si par le passé, ils évitaient de s’en prendre aux hôpitaux en raison des services essentiels qu’ils fournissent, ces établissements sont désormais au centre de leur attention. Ce retournement de situation s’explique par différents facteurs, notamment les retours financiers générés par les ransomwares, la facilité à réussir une attaque (en raison des vulnérabilités que nous avons vues plus haut) et les perturbations qu’une attaque peut causer sur les économies et communautés locales.
Mais vous pouvez décourager les hackers en faisant de la cybersécurité votre priorité. Adoptez les technologies, pratiques et états d’esprit qui feront disparaître l’une de leurs plus grandes motivations à s’en prendre à vous : la simplicité d’exploitation de vos vulnérabilités. Ce faisant, votre organisation pourra consacrer davantage de son temps, de ses ressources et de son attention au plus important : des soins essentiels qui sauvent des vies.