Le paysage des menaces dans les services de santé inclus à présent les campagnes de phishing, les malwares, les ransomwares, la violation des dossiers de patients ainsi que d’autres cyberattaques visant les systèmes de santé. L’ensemble de ces menaces ayant, en général, de lourdes conséquences.
Selon Interpol, le COVID-19 a conduit à une modification des cibles choisies, délaissant les particuliers et les petites entreprises pour se concentrer davantage sur les gouvernements et les infrastructures critiques de santé. Les agences de sécurité britanniques et américaines ont révélé que des efforts ciblés visaient les secteurs (médical, pharmaceutique, universitaire et recherche) chargés de fournir des soins ininterrompus aux personnes infectées et de mener des travaux de recherche sur les vaccins contre les coronavirus.
Les services de santé sont aujourd’hui très vulnérables. Face à l’une des pires crises sanitaires qui aient frappé l’humanité, les attaquants exploitent sans relâche un contexte dans lequel le télétravail a fortement augmenté, avec le plus souvent peu ou pas d’expérience et de planification en amont. En effet, la peur et l’anxiété ont gagné une part importante de la population, et la main-d’œuvre médicale se trouve être surmenée et préoccupée. Une défaillance des systèmes de santé peut avoir des conséquences désastreuses : omettre de commander des médicaments, de planifier des opérations ou bien de libérer à temps des ambulances pour gérer des urgences.
Dans cette lutte contre la pandémie, la plupart des pays ont rapidement déployé des consultations virtuelles pour les patients à l’aide de services de télésanté afin de réduire les contacts physiques pour aider à prévenir la propagation du virus. Ces services utilisent des systèmes d’accès à distance, signifiant ainsi qu’un appareil et une connexion sont des accès à part entière au système de santé.
Compte tenu de ces circonstances sans précédent, l’OCR (Office of Civil Rights) a exercé son pouvoir discrétionnaire et a annoncé que, pendant la pandémie, il n’imposerait pas de sanctions en cas de non-respect des réglementations HIPAA à l’encontre des fournisseurs exploitant des plateformes de télésanté, et qui pourraient ne pas se conformer aux règles de confidentialité. Une telle décision donne aux pirates plus de moyens pour commettre des violations de données, lancer des attaques de ransomwares et de phishing, avoir accès frauduleusement aux Dossiers de Santé Electroniques (DES), etc.
De plus, pour faire face à l’augmentation rapide du nombre d’infections et pour soutenir l’infrastructure de santé existante, de nombreux pays dans le monde ont dû créer des installations temporaires dédiées au COVID-19 afin d’héberger les patients infectés. Étant donné que ces installations sont créées dans la hâte et que la priorité absolue est de fournir des soins aux patients, la sécurité devient secondaire, et de nombreuses étapes cruciales pour protéger les réseaux et les appareils sont alors négligées.
Ainsi, une telle situation génère des points faibles dans les réseaux qui sont facilement exploités par des acteurs malveillants. Le Ministère de la Santé et des Services Sociaux (Department of Health and Human Services) a signalé qu’entre les mois de février et mai de cette année, 132 violations avaient été signalées. Il s’agit d’une augmentation de près de 50% des violations signalées au cours de la même période l’année dernière.
Une autre conséquence de la pandémie a également été une augmentation significative de la quantité de données sur la santé des patients stockées par le gouvernement et les organismes de santé. Les données personnelles telles que les paramètres de santé quotidiens, l’état de santé lié à la comorbidité, les compagnies d’assurance, ainsi que la traçabilité de tous les cas contact qui sont entrés en relation avec une personne infectée peuvent être exploités à des fins d’usurpation d’identité et vendus à un prix élevé sur le Dark Web.
Les applications de traçage et de suivi des cas contact sont une autre source de problèmes en matière de confidentialité. Parfois, les données sur les antécédents médicaux des patients doivent être collectées auprès des hôpitaux traditionnels et transférées vers des établissements créés temporairement, ce qui est réalisé en général avec une technologie peu sécurisée. Une telle pratique expose les hôpitaux et les établissements de santé au risque d’attaques de type “spray and pray” lancées par des cybercriminels.
Le rapport de milieu d’année de Fortified a révélé que 60% des violations au niveau des services de santé au cours du premier semestre 2020 avaient été causées par une attaque malveillante ou un incident informatique, plutôt que par des insiders. La compromission des emails a été le vecteur d’attaque le plus courant pour accéder aux réseaux de santé et voler les données des patients pendant la pandémie. Fortified a expliqué que ces attaques ont été souvent mises en œuvre via des campagnes de phishing utilisées pour diffuser des malwares ou des ransomwares, et que ces dernières ont été observées très fréquemment tout au long de la crise.
Compte tenu du scénario actuel, il est plus important que jamais de se concentrer sur les bases de la cybersécurité. Les organisations, en particulier dans le secteur de la santé, doivent se concentrer sur la sécurité des emails et sur la formation. Les utilisateurs doivent être formés et testés avec des simulations d’attaques de phishing et une formation de sensibilisation à la sécurité. De telles initiatives créent à la fois une culture positive de sensibilisation à la sécurité et diminuent la probabilité que les utilisateurs ne tombent dans les pièges tendus par certaines attaques.
La segmentation du réseau est un autre moyen pour les organisations de limiter ou de restreindre la communication entre les appareils et les systèmes qui sont essentiels au maintien des services médicaux. Aujourd’hui, lorsque le service IT est déjà débordé ou en sous-effectif, les services MTR (Managed Threat Response) peuvent apporter un soutien aux opérations de sécurité en assurant également la recherche, la détection et la réponse aux menaces 24h/24 et 7j/7.
Visitez Sophos.com/Healthcare pour en savoir plus.
Billet inspiré de The impact of COVID-19 on healthcare cybersecurity, sur le Blog Sophos.