Bien qu’elles n’attirent pas autant l’attention des médias que les attaques subies pas les grandes institutions de santé, les cyberattaques visant les petites structures médicales privées se produisent au quotidien. Au vu de leurs budgets inférieurs à ceux des plus grandes organisations, les petites et moyennes entreprises (PME) du secteur de la santé disposent souvent de moins de ressources informatiques, ce qui les rend plus attirantes et plus vulnérables auprès des cybercriminels.
D’où vient l’intérêt des hackers pour les PME de la santé ?
Les données de santé ont la plus grande valeur sur le marché libre ; certains documents pouvant quasiment atteindre 1 000 € au marché noir. Un cybercriminel en possession d’un seul dossier médical peut causer des dommages considérables non seulement au propriétaire, mais également à l’institution de santé qui a été piratée.
Au cours du premier semestre 2019, les dossiers de 31 millions de patients ont été dérobés aux États-Unis. Tous ces documents comportent une mine d’informations pour les cybercriminels : des noms, des dates de naissance, des numéros de sécurité sociale, etc. Chaque dossier piraté engendre des frais, notamment le coût de l’enquête relative au piratage, la récupération des éléments volés et le paiement des frais de contentieux. Une violation de données de grande ampleur pourrait entraîner des dégâts irréversibles pour les PME de la santé.
[Sur le même thème] Les PME confient leur cybersécurité aux MSP
Le phishing des dossiers médicaux
Bien que les hackers utilisent de nombreuses méthodes pour pirater les dossiers médicaux, la plus simple et efficace étant le phishing. Il s’agissait de la cause principale d’intrusion en 2019, avec les ransomware qui permettent d’avoir une emprise sur plusieurs organisations.
Bien que la plupart des PME ont investi dans des formations de sensibilisation au phishing, les hackers font appel à des techniques sophistiquées qui permettent de berner aussi bien les utilisateurs que les filtres d’email. L’abus de redirections URL et de raccourcis ainsi qu’un mélange de contenu à la fois authentique et trompeur constituent des techniques d’obfuscation qui entravent le fonctionnement des solutions habituelles pour détecter le phishing.
Pour aggraver la situation, les hackers aguerris font des recherches sur les PME de la santé et personnalisent les attaques en fonction de l’organisme et de ses utilisateurs en ciblant personnellement ces derniers et en les manipulant grâce à des attaques uniques et individualisées.
Pour prendre un exemple précis, les membres du personnel d’une institution de santé pour une communauté privée ont reçu un email de phishing qui leur demandait de remplir une enquête de satisfaction des employés pour Office 365. Le logo de l’entreprise et d’autres images de la marque étaient présents ; il s’agissait d’une enquête d’activité qui récoltait des informations auprès de tous les utilisateurs.
[Sur le même thème] Livre électronique : Sécurité de l’email pour Office 365
De telles attaques témoignent de la nature de plus en plus ciblée des attaques de phishing ciblant Office 365 et de la diligence nécessaire pour les contrer, aussi bien du point de vue humain que technologique. Les formations de sensibilisation sont plus que nécessaires, elles sont utiles, mais les dernières techniques de phishing rendent les attaques plus difficiles à repérer, en particulier lorsqu’elles sont extrêmement ciblées.
Les petites organisations de santé qui font appel à Office 365 sont nombreuses à refuser d’investir davantage dans la cybersécurité à cause des frais supplémentaires engendrés. De plus, les PME rencontrent souvent des difficultés pour convaincre leurs clients d’ajouter une couche de sécurité en plus de la solution prévue par défaut avec Office 365, Exchange Online Protection (EOP).
Comme de nombreuses PME en ont fait l’expérience, grâce à la vague de ransomware de 2019, les conséquences du phishing ne se limitent pas au client et touchent directement leurs affaires. Au vu du nombre accru de clients qui passent à Office 365, les PME doivent proposer une solution directement intégrée qui serait conçue spécialement pour Office 365.
La lecture de l’étude de cas vous permet de découvrir comment une PME de la santé a éliminé les menaces de phishing grâce à Vade Secure pour Office 365.
