Les attaques de ransomware ciblant les hôpitaux et autres établissements de santé sont de plus en plus fréquentes.
Selon le gouvernement américain, le nombre de violations dans le secteur de la santé au cours des cinq premiers mois de 2022 a presque doublé par rapport à la même période en 2021.
Ces attaques occasionnent des dommages importants pour l’hôpital et mettent en danger les patients.
En avril 2023, l’hôpital de Bourg-en-Bresse était victime d’une cyberattaque. Sans conséquence majeure pour une fois, car le personnel IT, désormais au fait des risques, avait remarqué des mouvements anormaux sur le réseau, et immédiatement isolé les systèmes informatiques critiques pour prévenir l’attaque.
Mais ces bonnes pratiques ont été apprises au prix fort et de manière accélérée. L’attaque du CHU de Corbeil-Essonnes notamment, en août 2022, avait provoqué une interruption des services de soin.
Et le nombre d’attaques a explosé. En 2022, l’ANSSI a ainsi comptabilisé 11 attaques par rançongiciel sur des établissements publics de santé français.
Dans la grande majorité des cas, ces attaques sont menées par des groupes de cybercriminels qui cherchent à extorquer de l’argent aux victimes.
Pour ce faire, les pirates utilisent différents outils et techniques afin d’obliger les responsables des hôpitaux à verser de l’argent.
La très chère clé de déchiffrement
Les attaquants chiffrent les données pour les rendre inaccessibles aux utilisateurs. Ils exigent ensuite le paiement d’une rançon en échange de la clé de déchiffrement.
Les rançons demandées peuvent être élevées. Un hôpital universitaire de Barcelone s’est vu réclamer pas moins de 4,5 millions de dollars en mars 2023 . Les pirates ont bien conscience de la criticité des systèmes d’information hospitaliers et des risques qu’une perte d’accès aux données peut faire courir aux patients.
Un hôpital universitaire de Barcelone s’est vu réclamer pas moins de 4,5 millions de dollars.
Certaines attaques qui se sont produites en France ces derniers mois ont également montré que des hôpitaux pouvaient être touchés par hasard, lors de campagnes massives lancées par des pirates cherchant à exploiter des failles génériques sans cibler d’organisations particulières.
Rançon et vole de données : la double peine
Pour inciter les victimes à payer la rançon, les pirates les ont pendant longtemps menacées de divulguer publiquement leurs données, extraites avant le déclenchement du ransomware.
Ce n’est désormais plus toujours le cas et il arrive que les données soient monnayées par les pirates, même en cas de paiement de la rançon. Les informations personnelles de patients ou praticiens peuvent en effet être revendus sur le darknet à des fins d’usurpation d’identité ou de fraude.
Quelles sont les solutions ?
Face à ces attaques, les responsables informatiques des établissements de santé ne sont pas dénués de solutions.
La question aujourd’hui n’est plus tant de savoir si vous serez attaqué, mais quand.. Une bonne préparation doit vous permettre de voir venir les attaques et d’être prêt à réparer les dégâts si nécessaire.
Voici quelques actions de prévention simples mais efficaces à mettre en œuvre.
- Sensibilisation et formation
Les employés des établissements de santé sont souvent, à leur corps défendant, les vecteurs de transmission des attaques.
Ils doivent donc être formés à reconnaître les signes d’une attaque en cours, et à adopter des pratiques de cybersécurité appropriées.
Dans le cas des attaques qui utilisent des méthodes de phishing, ce sont des liens qui mènent à des sites web malveillants ou des malwares camouflés dans des pièces jointes de courriel qui sont envoyés aux employés.
La sensibilisation à la détection de ces messages vérolés peut aider à prévenir les erreurs humaines qui permettent aux ransomwares de pénétrer les systèmes d’information des hôpitaux.
- Mises à jour et correctifs des systèmes
Si les attaques passent le plus souvent par les messages que reçoivent les employés, elles visent ensuite les systèmes informatiques des hôpitaux pour les paralyser.
Parfois, même avec les dernières mises à jour effectuées, les attaques ne peuvent être empêchées. Mais le plus souvent, ce sont les systèmes qui n’ont pas été mis à jour par les utilisateurs qui servent de porte d’entrée aux pirates.
Assurez-vous donc régulièrement que tous les systèmes d’exploitation, logiciels et appareils utilisés dans l’établissement sont régulièrement mis à jour avec les derniers correctifs de sécurité.
- Outils et services de détection
Détecter une attaque informatique est un défi humain et technologique.
L’utilisation de pare-feu, de logiciels antivirus et d’autres solutions de sécurité dédiées à la sécurité des réseaux et des systèmes permet de repérer et de limiter la portée des attaques. Mais il est également nécessaire d’avoir les bonnes compétences pour déployer et utiliser au mieux les dernières innovations en matière de détection. Il existe aujourd’hui des services de SOC managé qui permettent d’obtenir l’aide d’experts confirmés.
- Sauvegardes régulières et stockage hors ligne
Le blocage de votre système d’information peut être contourné par la récupération de vos données sur des sauvegardes.
Mais pour ce faire il faut que ces sauvegardes soient disponibles et effectuées de manière régulière afin de perdre le moins de données possibles.
Effectuez donc des sauvegardes de toutes les données critiques et assurez-vous que ces sauvegardes sont stockées de manière sécurisée, hors ligne.
Cela permet de restaurer les données en cas d’attaque.
- Plan de réponse aux incidents
Bien entendu, l’ensemble de ces manœuvres et processus doivent trouver leur place dans un schéma pensé et partagé en amont des attaques.
Il s’agit donc de mettre au point et d’implémenter un plan de réponse aux incidents de sécurité qui contiendra l’ensemble des éléments présentés ci-dessus.
Ce plan doit inclure des procédures détaillées sur la manière de réagir en cas d’attaque de ransomware, notamment en isolant les systèmes infectés et en signalant l’incident aux autorités compétentes. Et il doit être testé !
Globalement, Il est essentiel de noter que la prévention des ransomwares nécessite de mettre en place à la fois des mesures techniques et des pratiques de sensibilisation et de formation des employés.
