En 2021, le président français Emmanuel Macron a présenté le plan Innovation santé, un projet ambitieux visant à redonner au secteur de la santé du pays sa place de leader européen à l’horizon 2030. Malheureusement, de nombreuses cyberattaques se sont mises sur le chemin de cette vision, dont les plus récentes illustrent bien les difficultés auxquelles font face ses dirigeants. Les attaques contre les hôpitaux de Corbeil-Essonnes et Charleville-Mézières, survenues respectivement fin août et courant septembre 2022, ont par exemple paralysé les systèmes d’information et forcé les professionnels de santé à revenir à des processus papier et des technologies obsolètes.
Si ces attaques n’ont pas eu de conséquences durables, elles ont en revanche suscité de nombreux questionnements sur la cybersécurité dans le secteur de la santé et mis en lumière son rôle vital dans la protection du progrès technologique et le maintien de capacités de soins essentielles.
Depuis plusieurs années, les établissements de santé constituent la principale cible de cyberattaques sophistiquées de grande ampleur. Les raisons de cet intérêt sont évidentes. Tout d’abord, ces structures doivent protéger une vaste surface d’attaque comprenant de nombreux dispositifs médicaux connectés, ainsi que des technologies et fournisseurs anciens, bien souvent sources de vulnérabilités graves. En parallèle, elles doivent composer avec un manque de spécialistes en cybersécurité et des difficultés chroniques de main-d’œuvre. Les conditions de travail des professionnels de santé ne leur permettent ainsi pas de suivre de bonnes pratiques de cyberhygiène, car ils doivent consacrer chaque seconde de leurs temps aux patients.
Au-delà de ces vulnérabilités, les hôpitaux constituent aussi des cibles alléchantes sur le plan financier. Ils assurent en effet un service essentiel pour la communauté et ne peuvent donc pas se permettre d’interrompre leur activité, dont la continuité dépend des systèmes d’information. Par conséquent, lorsque ces systèmes se retrouvent pris en otage, leurs dirigeants n’ont d’autre choix que de s’acquitter de rançons colossales. Dans le même temps, les cybercriminels peuvent aussi gagner des sommes considérables en exfiltrant les données des systèmes d’information de santé et en les vendant sur le dark Web. Un dossier médical peut par exemple valoir jusqu’à 250 €, soit 50 fois plus qu’une carte bancaire volée.
Tous ces facteurs motivent grandement les hackers et posent d’immenses difficultés aux dirigeants des établissements de santé. Pour les résoudre, il leur faudra adopter une approche exhaustive de la cybersécurité pensée à la fois sur le court terme et le long terme.
Dans cet article, nous allons passer en revue quatre solutions qui vous aideront à renforcer la sécurité de votre établissement de santé en 2023 et vous éviteront d’être victime des hackers.
Dans tous les secteurs, l’email reste le principal vecteur des cybermenaces, car c’est pour les hackers un moyen efficace d’accéder à de très nombreux utilisateurs, la plus grande vulnérabilité du monde de la santé. Au 3e trimestre 2022, Vade a ainsi détecté 203,9 millions d'emails de phishing dans le monde, soit 31 % de plus qu’au trimestre précédent. Plus de 177,5 millions d’emails contenant des malwares ont aussi été repérés, un chiffre qui dépasse les volumes observés en 2021 (121,7 millions). Ces statistiques montrent clairement que l’email reste le vecteur d’attaque préféré des cybercriminels.
Nombre d’emails de phishing, 3e trimestre 2022
Nombre d’emails contenant des malwares, 3e trimestre 2022
Si ces chiffres restent élevés, c’est aussi parce que les technologies de sécurité de l’email traditionnelles, incapables de protéger pleinement leurs utilisateurs, sont encore très utilisées. Des solutions comme les passerelles de messagerie sécurisées ne protègent que des menaces connues des outils d’analyse de la réputation et de la signature, mais pas des quelque 450 000 nouvelles souches de malwares et autres applications potentiellement indésirables qui seraient découvertes chaque jour. De plus, elles sont installées à l’extérieur de votre réseau et n’offrent donc aucune protection contre les attaques et menaces internes.
En raison de sa popularité en tant que vecteur d’attaque, l’email doit être une priorité pour les établissements de santé. Les solutions de détection des menaces et de réponse basées sur l’intelligence artificielle (IA) vous permettent de renforcer votre cybersécurité et de vous protéger des menaces contenues dans les emails, qu’elles soient connues ou non. Ces solutions sécurisent votre canal le plus actif et le plus vulnérable.
Elles s’appuient sur une série de technologies et fonctions centrales pour vous assurer une solide protection. Toutes les solutions ne se valant pas, mettez-vous en quête de technologies offrant les capacités suivantes :
1. Machine Learning. Les algorithmes de machine learning, une sous-discipline de l’IA, analysent les emails, les URL et les pièces jointes pour détecter des anomalies et des comportements communs à toutes les cybermenaces. Par exemple, Vade Cloud et Vade for M365 utilisent des algorithmes de ce type pour analyser 47 caractéristiques des emails et des URL.Dans le secteur de la santé, les organisations se sont longtemps appuyées sur un modèle de sécurité périmétrique protégeant des menaces externes, mais impliquant une confiance totale vis-à-vis des acteurs internes. Les hackers étant capables d’infiltrer des réseaux à l’aide de diverses techniques, la sécurité périmétrique est désormais inefficace et obsolète. En effet, elle laisse tout loisir aux hackers de lancer des attaques plus ambitieuses et ciblées une fois qu’ils sont parvenus à compromettre un compte.
Il existe une approche plus performante : le Zero Trust. Ce cadre stratégique limite la capacité des hackers à accéder à votre réseau et à s’y déplacer librement. Comme son nom l’indique, le Zero Trust impose des normes de sécurité strictes à tous les utilisateurs, utilisateurs internes compris. En adoptant ce cadre, vous empêchez les hackers de procéder à des déplacements latéraux au sein de votre réseau, de compromettre plusieurs comptes, d’exfiltrer des données, de propager des malwares et d’accomplir bien d’autres activités malveillantes. Par le biais des technologies comme l’authentification multifacteur (MFA), la segmentation réseau et les contrôles d’accès, le modèle Zero Trust impose à tous les utilisateurs d’être authentifiés, autorisés et validés en continu à chaque interaction intervenant au sein du réseau.
La gestion des mots de passe est un problème récurrent. Dans tous les secteurs, de nombreux employés réutilisent un même mot de passe dans plusieurs applications, augmentant ainsi le risque de compromission. En effet, les fuites de données exposent souvent des identifiants. Lorsque les bonnes pratiques, comme le recours à des mots de passe uniques, longs et variés, ne sont pas respectées, les utilisateurs permettent aux hackers d’exploiter ces identifiants pour infiltrer et usurper d’autres comptes.
Les solutions d’application de politiques de mots de passe constituent un moyen rapide et efficace d’améliorer votre cybersécurité. Elles vous permettent d’implémenter des contrôles administratifs qui forcent les utilisateurs à définir régulièrement des mots de passe uniques respectant certaines conditions de longueur ou de caractères.
Les utilisateurs constituent le principal point faible de la cybersécurité du secteur de la santé. D’après l’édition 2022 du rapport de Verizon sur les violations de données, 82 % des violations impliquent un élément humain. Pour renforcer votre cybersécurité dès 2023, vous devez investir dans la sensibilisation des utilisateurs afin d’apprendre à vos employés à repérer les menaces envoyées par email et à les traiter.
Ces formations de sensibilisation existent sous différentes modalités, mais les programmes se déroulant en salle de classe et les programmes basés sur des simulations sont les plus courantes. Les deux ont leurs avantages, mais elles ne préparent pas aux cybermenaces dynamiques. Par exemple, les formations en salle de classe se déroulent à des intervalles prédéterminés qui ne correspondent que rarement à la réalité des cybercrimes. En effet, les attaques peuvent survenir à n’importe quel moment et à des fréquences très variables. Les formations basées sur des simulations utilisent quant à elles des modèles génériques qui ne tiennent pas compte des emails auxquels sont confrontés les utilisateurs dans leur quotidien et limitent donc leur capacité à appliquer ce qu’ils apprennent.
Il est par conséquent préférable d’opter pour une formation de sensibilisation des utilisateurs personnalisée, pertinente et déclenchée automatiquement, au bon moment. Elle doit être personnalisée en s’adaptant au contenu et au contexte des interactions par email habituelles des utilisateurs. Elle doit être déclenchée au bon moment, à savoir lorsque les utilisateurs sont confrontés à une véritable menace, car c’est là que la formation est la plus importante et la plus efficace. Elle doit être pertinente en tenant compte des cybermenaces et techniques les plus récentes et émergentes. Enfin, elle doit être fournie automatiquement, en fonction des besoins, sans nécessiter d’intervention manuelle.
Vade Threat Coach™ propose une formation en temps réel qui est à la fois personnalisée, dispensée au bon moment et automatisée. Elle est aussi pertinente, car ses instructions sont basées sur les informations sur les menaces les plus récentes issues de la boucle de rétroaction continue de Vade.
La technologie a ouvert de nouveaux horizons passionnants en matière de soins. Malheureusement, elle a aussi donné naissance à de nouvelles vulnérabilités qui aujourd’hui encore menacent des ressources critiques, et mobilisent le temps et l’attention d’établissements stratégiques. Pour atteindre tout leur potentiel et devenir des leaders de l’innovation numérique, les établissements de santé doivent donner la priorité à la cybersécurité. En adoptant les quatre solutions essentielles présentées dans cet article, ils peuvent renforcer leur sécurité, préserver la continuité de leur activité et protéger leurs progrès technologiques.