Trace Id is missing

Le secteur de la santé américain en danger : Renforcer la résilience contre les attaques par rançongiciel

Partager
Un groupe de professionnels de la santé regardant une tablette

Le secteur de la santé fait face à un éventail de menaces de cybersécurité de plus en plus large, les attaques par rançongiciel émergeant comme la menace la plus importante. Une combinaison de données précieuses relatives aux patients, d’appareils médicaux interconnectés et d’une petite équipe informatique/de cybersécurité, qui entraîne une dispersion des ressources, peut faire des institutions de santé des cibles de premier choix pour les acteurs de menaces. Alors que les opérations de soins de santé sont de plus en plus numérisées (des dossiers médicaux électroniques [EHR] aux plateformes de télémédecine, en passant par les appareils médicaux), la surface d’attaque des hôpitaux devient de plus en plus complexe, ce qui les rend plus sensibles aux attaques.

Les sections suivantes fournissent un aperçu du paysage de cybersécurité actuel dans le secteur de la santé, mettant en évidence le statut du secteur comme Cible majeure, la fréquence croissante des attaques par rançongiciel et les graves conséquences financières et aux soins des patients que ces attaques entraînent.

Une discussion vidéo animée par Sherrod DeGrippo, Directrice de la stratégie de veille des menaces pour Microsoft, explore davantage ces problèmes critiques, fournissant des insights d’experts sur les acteurs de menaces, les stratégies de reprise et les vulnérabilités du secteur de la santé.

Le briefing de la Veille des menaces Microsoft : Secteur de la santé

Sherrod DeGrippo, Directrice de la stratégie de veille des menaces pour la Veille des menaces Microsoft, anime une table ronde avec des experts de la veille des menaces et de la sécurité du secteur de la santé, qui examinent ce qui rend le secteur particulièrement sensibles aux attaques par rançongiciel, les tactiques utilisées par les groupes d’acteurs de menaces, comment rester résilient et bien d’autres sujets.
  • Selon la Veille des menaces Microsoft, le secteur de la santé/santé publique a été l’un des 10 principaux secteurs les plus touchés au cours du second trimestre 2024.1
  • Le modèle Rançongiciel en tant que service (Ransomware-as-a-service, RaaS) a réduit les obstacles à l’entrée pour les attaquants ne disposant pas d’expertise technique, tandis que la Fédération de Russie constitue un refuge pour les groupes d’attaquants par rançongiciel. Par conséquent, les attaques par rançongiciel ont augmenté de 300 % depuis 2015.2
  • Au cours de cet exercice, 389 institutions américaines de soins de santé ont été victimes d’attaques par rançongiciel, entraînant des coupures réseau, des systèmes hors ligne, des retards dans des procédures médicales critiques et des rendez-vous reprogrammés.3 Ces attaques sont coûteuses, avec un rapport du secteur démontrant que les institutions de santé perdent jusqu’à 900 000 USD au quotidien en raison des temps d’arrêt uniquement.4
  • Sur les 99 institutions de santé ayant admis avoir payé la rançon et ayant divulgué le montant payé, le paiement médian était de 1,5 millions de USD, et le paiement moyen était de 4,4 millions de USD.5

Impact grave sur les soins apportés aux patients

La perturbation des opérations de soins de santé causées par une attaque par rançongiciel peut avoir un impact significatif sur la capacité de traiter efficacement les patients, non seulement dans les hôpitaux impactés, mais aussi dans les hôpitaux voisins, qui absorbent le volume de patients admis aux urgences déplacés.6

Les résultats d’une récente étude illustre la façon dont une attaque par rançongiciel contre quatre hôpitaux (deux attaqués et deux non impactés) a généré une augmentation du volume de patients admis aux urgents, des temps d’attente plus longs et une pression supplémentaire sur les ressources, et particulièrement dans les soins pour lesquels le facteur Temps est critique, comme le traitement d’un AVC, dans les deux hôpitaux voisins non impactés.7
Augmentation des cas d’AVC : L’attaque par rançongiciel a exercé une pression significative sur l’ensemble de l’écosystème de soins de santé, car les hôpitaux non impactés devaient absorber les patients provenant des hôpitaux impactés. Les activations de code d’AVC dans les hôpitaux voisins ont presque doublé, passant de 59 à 103, tandis que les AVC confirmés ont augmenté de 113,6 %, passant de 22 à 47 cas.
Augmentation des arrêts cardiaques : L’attaque a mis sous pression le système de soins de santé, car le nombre de cas d’arrêts cardiaques dans les hôpitaux non impactés est passé de 21 à 38, soit une augmentation de 81 %. Cela reflète l’impact en cascade d’une institution impactée, forçant les hôpitaux voisins à gérer davantage de cas critiques.
Déclin du taux de survie avec des résultats neurologiques favorables : Le taux de survie dans le cas des arrêts cardiaques survenus en dehors de l’hôpital avec des résultats neurologiques favorables a chuté de façon drastique pour les hôpitaux non impactés au cours de l’attaque, passant de 40 % avant l’attaque à 4,5 % au cours de l’attaque.
Augmentation des arrivées d’ambulances : On note une augmentation de 35,2 % des arrivées des services médicaux d’urgence (EMS) aux hôpitaux non impactés au cours de l’attaque, suggérant une diversion du trafic ambulancier en raison des perturbations causées par le rançongiciel dans les hôpitaux attaqués.
Augmentation du volume de patients : Étant donné que l’attaque a compromis les quatre hôpitaux locaux (deux attaqués et deux non impactés), les services d’urgence (ED) des hôpitaux non impactés ont fait face à un afflux conséquent de patients. Le recensement quotidien dans ces hôpitaux non impactés a augmenté de 15,1 % au cours de l’attaque par rapport à avant l’attaque.
Perturbations supplémentaires des soins : Au cours des attaques, les hôpitaux non impactés ont fait face à des augmentations notables du nombre de patients quittant l’hôpital sans avoir été consulté, des temps en salle d’attente et de la durée du séjour totale des patients admis. Par exemple, le temps médian en salle d’attente est passé de 21 minutes avant l’attaque à 31 minutes au cours de l’attaque.

Études de cas sur le rançongiciel

Les attaques par rançongiciel dans le secteur de la santé peuvent avoir des conséquences dévastatrices, non seulement pour les institutions ciblées, mais aussi pour les soins apportés aux patients et la stabilité opérationnelle. Les études de cas suivantes illustrent les effets profonds d’un rançongiciel sur différents types d’institutions de santé, des systèmes de grands hôpitaux, aux petits prestataires ruraux, elles mettent également en évidence les différentes façons dont les attaquants infiltrent les réseaux et les perturbations résultantes survenant dans les services de santé essentiels.
  • Les attaquants ont utilisé des identifiants compromis pour accéder au réseau via une passerelle d’accès à distance vulnérable sans authentification multifacteur. Ils ont chiffré l’infrastructure essentielle et exfiltré les données sensibles dans un schéma de double extorsion, menaçant de les rendre publiques à moins qu’une rançon ne soit payée.

    Impact :     L’attaque a causé des perturbations, empêchant 80 % des professionnels de la santé et pharmacies de vérifier les réclamations d’assurance ou de traitement. 
  • Les attaquants ont tiré profit d’une vulnérabilité du système hérité et non corrigé de l’hôpital, se déplaçant latéralement pour compromettre l’attribution de rendez-vous aux patients et les dossiers médicaux. Grâce à la tactique de double extorsion, ils ont exfiltré les données sensibles et menacé de les rendre publiques à moins qu’une rançon ne soit payée.

    Impact : L’attaque a perturbé les opérations, entraînant des rendez-vous annulés, des chirurgies retardés et une transition vers les processus manuels, ajoutant de la pression sur le personnel et retardant les soins. 
  • Les attaquants ont utilisé des e-mails de hameçonnage pour accéder au réseau de l’hôpital et exploité les vulnérabilités non corrigées pour déployer le rançongiciel, chiffrant les systèmes d’EHR et de soins aux patients. Dans une tactique de double extorsion, ils ont exfiltré les données sensibles relatives aux patients et aux finances, menaçant les rendre publiques à moins qu’une rançon ne soit payée. 

    Impact :     L’attaque a impacté quatre hôpitaux et plus de 30 cliniques, retardant les traitements et redirigeant les urgences, avec des inquiétudes concernant l’exposition des données. 
  • En février 2021, une attaque par rançongiciel a paralysé les systèmes informatiques d’un hôpital rural de 44 lits, forçant les opérations manuelles pendant trois mois, et retardant significativement les réclamations d’assurance.

    Impact :     L’hôpital étant incapable d’être payé dans les temps, cela a causé une détresse financière, laissant la communauté rurale locale sans services de soins de santé essentiels. 

Le secteur de la santé américain constitue une cible attractive pour les cybercriminels motivés par l’argent en raison de sa large surface d’attaque, de ses systèmes hérités et de ses protocoles de sécurité incohérents. Le fait que le secteur de la santé dépende des technologies numériques combiné à ses données sensibles et aux limitations en matière de ressources auxquelles de nombreuses institutions font face (souvent en raison de marges très réduites) peut limiter leur capacité à investir pleinement dans la cybersécurité, les rendant particulièrement vulnérables. En outre, les institutions de santé donnent la priorité aux soins apportés aux patients à n’importe quel coût, ce qui explique pourquoi certains établissements sont prêts à payer les rançons afin d’éviter toute perturbation.

Une réputation à payer les rançons

Une autre raison pour laquelle le rançongiciel est devenu un tel problème pour le secteur de la santé est le record du secteur a payé les rançons. Pour les institutions de santé, les soins apportés aux patients constituent la priorité absolue, et si elles doivent payer des millions de dollars pour éviter les perturbations, elles sont souvent enclines à le faire.

En effet, selon un rapport récent basé sur une enquête réalisée auprès de 402 institutions de santé, 67 % ont fait face à une attaque par rançongiciel au cours de l’année passée. Parmi ces institutions, 53 % ont reconnu avoir payé des rançons en 2024, contre 42 % en 2023. Le rapport met également en évidence l’impact financier, avec un montant moyen payé de 4,4 millions de USD.12

Ressources et investissements de sécurité limités

Les budgets et ressources limités pour investir dans la cybersécurité dans le secteur de la santé constituent un autre défi important. Selon le récent rapport Healthcare Cybersecurity Needs a Check-Up13 de CSC 2.0 (un groupe poursuivant le travail de la Cyberspace Solarium Commission mandatée par le congrès), "étant donné que les budgets sont serrés et que les prestataires doivent en priorité investir dans les services aux patients essentiels, la cybersécurité a bien souvent reçu trop peu de financement, ce qui entraîne une vulnérabilité accrue des institutions face aux attaques."

En outre, malgré la gravité du problème, les prestataires de soins de santé n’investissent pas suffisamment dans la cybersécurité. En raison de nombreux facteurs complexes, notamment un modèle de paiement indirect qui est souvent à l’origine du fait que les institutions donnent la priorité aux besoins cliniques immédiats par rapport à des investissements moins visibles comme la cybersécurité, le secteur de la santé a considérablement trop peu investi dans la cybersécurité au cours des deux dernières décennies.10

En outre, la loi américaine HIPAA (Health Insurance Portability Accountability Act) est à l’origine du fait que les investissements sur la confidentialité des données ont la priorité, l’intégrité et la disponibilité des données devenant souvent une inquiétude secondaire. Cette approche peut engendrer un focus moindre sur la résilience organisationnelle, particulièrement en diminuant les objectifs de durée de récupération (RTO) et les objectifs de point de récupération (RPO).

Systèmes hérités et vulnérabilités des infrastructures

L’une des conséquences d’un investissement trop faible dans la cybersécurité est une dépendance des systèmes hérités obsolètes et difficiles à mettre à jour, qui sont devenus des cibles de choix pour l’exploitation. De plus, l’utilisation de technologies disparates crée une infrastructure en patchwork avec des lacunes de sécurité, ce qui augmente le risque d’attaques.

Cette infrastructure vulnérable est devenue encore plus complexe, suite à la tendance récente du secteur de la santé vers la consolidation. Les fusions d’hôpitaux, qui sont à la hausse (augmentation de 23 % en 2022, et à des niveaux records depuis 202014) créent des organisations avec des infrastructures complexes réparties dans différents emplacements. Sans investissement suffisant dans la cybersécurité, ces infrastructures deviennent extrêmement vulnérables aux attaques.

Surface d’attaque en expansion

Bien que les réseaux de soins intégrés cliniquement d’appareils connectés et de technologies médicales permettent d’améliorer les résultats des patients et de sauver des vies, ils ont également élargi la surface d’attaque numérique, et c’est quelque chose que les acteurs de menaces exploitent de plus en plus.

Les hôpitaux sont plus connectés que jamais, connectant les appareils médicaux essentiels tels que les tomodensitomètres, les systèmes de surveillance des patients et les pompes à perfusion, mais n’ont pas toujours la visibilité requise pour identifier et atténuer les vulnérabilités qui peuvent avoir un impact considérable sur les soins aux patients.

Docteurs Christian Dameff et Jeff Tully, co-directeurs et co-fondateurs du Centre de San Diego pour la cybersécurité dans le secteur de la santé de l’Université de Californie, remarquent que, en moyenne, 70 % des points de terminaison d’un hôpital ne sont pas des ordinateurs, mais plutôt des appareils médicaux.   
Chambre d’hôpital avec de l’équipement médical, une commode blanche et un rideau bleu.

Les institutions de santé transmettent également de nombreuses données. Selon les données du Bureau du Coordinateur national pour l’intégrité informatique, plus de 88 % des hôpitaux déclarent envoyer et obtenir par voie électronique les informations de santé des patients, et plus de 60 % déclarent intégrer ces informations à leurs dossiers de santé électroniques (EHR).15

Les petits prestataires ruraux font face à des défis uniques

Les hôpitaux ruraux à accès critique sont particulièrement vulnérables aux incidents impliquant des rançongiciels, car ils ont souvent des moyens limités pour prévenir les risques de sécurité et y remédier. Cela peut avoir un effet dévastateur sur une communauté, car ces hôpitaux sont souvent la seule option de soins à des kilomètres à la ronde dans les communautés qu’ils desservent.

Selon Drs. Dameff et Tully, les hôpitaux ruraux manquent généralement du même niveau d’infrastructure de cybersécurité ou d’expertise en la matière que leurs homologues urbains plus importants. Ils remarquent également que bon nombre des plans de continuité d’activités de ces hôpitaux sont obsolètes ou inadéquats lorsqu’il s’agit des cybermenaces modernes, comme le rançongiciel.

De nombreux hôpitaux, petits ou ruraux, font face à des contraintes financières significatives, opérant sur des marges bénéficiaires très faibles. Cette réalité financière leur complexifie la tâche d’investir dans des mesures de cybersécurité robustes. Bien souvent, ces installations dépendent d’un seul « généraliste » informatique, une personne capable de gérer les problèmes techniques du quotidien, mais qui ne dispose pas de connaissances spécialisées en matière de cybersécurité.

Un rapport de l’Équipe spécialisée dans la Cybersécurité du secteur de la santé du Département de la Santé et des Services sociaux des États-Unis, créée dans le cadre de la Loi sur la cybersécurité de 2015 (Cybersecurity Act of 2015), signale qu’une proportion significative des hôpitaux ruraux à accès critique ne disposent pas d’un employé à temps plein concentré sur la cybersécurité, soulignant les défis plus larges associés aux ressources que rencontrent les prestataires de soins de santé moins importants.

« Ces généralistes informatiques (il s’agit souvent d’une personne capable de gérer le réseau et les ordinateurs) sont habitués à régler des problèmes comme “Je ne peux pas imprimer”, “Je n’arrive pas à me connecter”, “Quel est mon mot de passe ?” », explique Dr. Dameff. « Ce ne sont pas des experts en cybersécurité. Ces institutions ne disposent ni du personnel, ni du budget et ne savent même pas par où commencer. »

Le processus d’attaque d’un cybercriminel suit généralement une approche en deux étapes : obtenir l’accès initial au réseau, souvent grâce au hameçonnage ou en exploitant des vulnérabilités, puis déployer le rançongiciel pour chiffrer les systèmes et données critiques. L’évolution de ces tactiques, y compris l’utilisation d’outils légitimes et la prolifération du RaaS, a facilité ces attaques et en a augmenté la fréquence.

La phase initiale d’une attaque par rançongiciel : Obtenir l’accès au réseau du secteur de la santé

Jack Mott, qui a précédemment dirigé une équipe axée sur l’ingénierie de Veille et de détection des menaces par e-mail pour les entreprises chez Microsoft, indique que « les e-mails restent l’un des plus grands vecteurs pour mener à bien des attaques par logiciel malveillant ou hameçonnage pour les attaques par rançongiciel. »16

Dans une analyse de la Veille des menaces Microsoft de 13 systèmes hospitaliers représentant de multiples opérations, y compris les hôpitaux ruraux, 93 % de la cyberactivité malveillante observée était associée à des campagnes de hameçonnage et au rançongiciel, la plupart des activités étant représentées par les menaces par e-mail.17
"Les e-mails restent l’un des plus grands vecteurs de réalisation des attaques par logiciel malveillant et hameçonnage pour les attaques par rançongiciel."
Jack Mott 
Veille des menaces Microsoft

Les campagnes visant les institutions de santé utilisent fréquemment des pièges très spécifiques. M. Mott souligne, par exemple, la façon dont les acteurs de menaces conçoivent les e-mails avec un jargon spécifique aux soins de santé, comme des références à des rapports d’autopsie, pour améliorer leur crédibilité et réussir à tromper les professionnels de la santé. 

Les tactiques de piratage psychologique comme celles-ci, spécifiquement dans les environnements à haute pression comme le secteur de la santé, exploitent l’urgence souvent ressentie par le personnel de santé, entraînant des manquements potentiels à la sécurité. 

M. Mott remarque également que les attaquants adoptent des méthodes de plus en plus sophistiquées, utilisant souvent "de vrais noms, des services légitimes et des outils fréquemment utilisés dans les services informatiques (par exemple, les outils de gestion à distance)" pour ne pas se faire détecter. En raison de ces tactiques, les systèmes de sécurité ont du mal à différencier les activités légitimes et malveillantes. 

Les données de la Veille des menaces Microsoft montrent également que les attaquants exploitent souvent des vulnérabilités connues dans les logiciels ou systèmes d’une institution, qui ont été identifiées dans le passé. Ces vulnérabilités et risques courants (CVE) sont bien documentés, disposent de correctifs disponibles, et les attaquants cibles souvent ces vulnérabilités plus anciennes, car ils savent que de nombreuses institutions n’ont pas encore corrigé ces problèmes.18 

Après avoir obtenu l’accès initial, les attaquants effectuent souvent une reconnaissance du réseau, ce qui peut être identifié par des indicateurs, tels qu’une activité d’analyse inhabituelle. Ces actions permettent aux acteurs de menaces de cartographier le réseau, d’identifier les systèmes critiques et de se préparer pour la prochaine phase de l’attaque : le déploiement du rançongiciel.

La phase finale d’une attaque par rançongiciel : Déployer le rançongiciel pour chiffrer les systèmes critiques

Une fois l’accès initial obtenu, généralement à l’aide du hameçonnage ou d’un logiciel malveillant envoyé par e-mail, les acteurs de menaces passent à la seconde phase : le déploiement du rançongiciel.

Jack Mott explique que la croissance des modèles de RaaS a considérablement contribué à la fréquence accrue des attaques par rançongiciel dans le secteur de la santé. « Les plateformes RaaS ont démocratisé l’accès à des outils de rançongiciel sophistiqués, permettant même aux personnes disposant de compétences techniques limitées de lancer des attaques extrêmement efficaces », remarque M. Mott. Ce modèle abaisse les obstacles à l’entrée pour les attaquants, rendant les attaques par rançongiciel plus accessibles et plus efficaces.
« Les plateformes RaaS ont démocratisé l’accès à des outils de rançongiciel sophistiqués, permettant même aux personnes disposant de compétences techniques limitées de lancer des attaques extrêmement efficaces. » 
Jack Mott 
Veille des menaces Microsoft

M. Mott élabore davantage sur la façon dont le modèle RaaS opère, déclarant : « Ces plateformes incluent souvent une suite d’outils complète, notamment des logiciels de chiffrement, le traitement des paiements, et même un service clientèle pour négocier les paiements de rançons. Cette approche clé en main permet à davantage d’acteurs de menaces de mener à bien des campagnes de rançongiciel, entraînant une augmentation du nombre et de la gravité des attaques. »

De plus, M. Mott souligne la nature coordonnée de ces attaques, mettant l’accent sur le fait suivant : « Une fois le rançongiciel déployé, les attaquants passent généralement rapidement au chiffrement des systèmes et données critiques, le plus souvent en quelques heures. Ils ciblent l’infrastructure clé, comme les dossiers de patients, les systèmes de diagnostic et même les opérations de facturation, pour maximiser l’impact et forcer les institutions de santé à payer la rançon. »

Attaques par rançongiciel dans le secteur de la santé : Profil des groupes d’acteurs de menaces les plus importants

Les attaques par rançongiciel dans le secteur de la santé sont souvent menées à bien par des groupes d’acteurs de menaces très organisés et spécialisés. Ces groupes, qui comprennent des cybercriminels motivés par l’argent et des acteurs de menaces état-nations sophistiqués, utilisent des techniques et stratégies avancées pour infiltrer les réseaux, chiffrer les données et exiger des rançons auprès des institutions.

Parmi ces acteurs de menaces, des pirates parrainés par le gouvernement originaires de nations autoritaires ont supposément utilisé les rançongiciels et même collaboré avec des groupes de rançongiciel à des fins d’espionnage. Par exemple, les acteurs de menaces du gouvernement chinois sont suspectés d’utiliser de plus en plus les rançongiciels comme couverture pour les activités d’espionnage.19

Les acteurs de menaces iraniens s’avèrent être les plus actifs lorsqu’il s’agit de cibler les institutions de santé en 2024.20 En effet, en août 2024, le gouvernement des États-Unis a publié un avertissement destiné au secteur de la santé relatif à un acteur de menaces basé en Iran et connu sous le nom de Lemon Sandstorm. Ce groupe « exploitait l’accès non autorisé au réseau d’organisations américaine, notamment des institutions de santé, pour faciliter, exécuter et tirer profit de futures attaques par rançongiciel, apparemment menées par des gangs de rançongiciel affiliés à la Fédération de Russie ».21

Les profils suivants fournissent des informations sur certains des groupes de rançongiciel motivés par l’argent les plus connus qui ciblent le secteur de la santé, détaillant leurs méthodes, leurs motivations et l’impact de leurs activités sur le secteur.
  • Lace Tempest est un groupe de rançongiciel prolifique qui cible le secteur de la santé. À l’aide d’un modèle RaaS, le groupe permet à ses affiliés de déployer facilement des rançongiciels. Il est associé aux attaques à fort impact sur les systèmes hospitaliers, chiffrant les données critiques des patients et exigeant une rançon. Connu pour la double extorsion, ils chiffrent non seulement les données, mais les exfiltrent également, menaçant de rendre les informations sensibles publiques à moins qu’une rançon ne soit payée.
  • Sangria Tempest est connu pour ses attaques par rançongiciel avancées visant les institutions de santé. Ils utilisent un chiffrement sophistiqué pour rendre la récupération des données quasiment impossible sans payer de rançon. Ils utilisent également la méthode de double extorsion, exfiltrant les données des patients et menaçant de les rendre publiques. Ces attaques sont à l’origine de perturbations opérationnelles généralisées, forçant les systèmes de soins à rediriger les ressources, ce qui a un impact négatif sur les soins aux patients.
  • Cadenza Tempest, connu pour les attaques par refus de services distribués (Distributed Denial-of-Services, DDoS), est rapidement passé aux opérations de rançongiciel dans le secteur de la santé. Identifié comme étant un groupe de hacktivistes pro-russe, il vise les systèmes de soins de santé dans les régions hostiles aux intérêts de la Fédération de Russie. Ses attaques surchargent les systèmes hospitaliers, perturbant les opérations critiques et créant le chaos, spécifiquement lorsqu’elles sont combinées aux campagnes de rançongiciel.
  • Actif depuis juillet 2022, le groupe Vanilla Tempest, motivé par l’argent, a récemment commencé à utiliser le rançongiciel INC fourni par des fournisseurs de RaaS pour cibler le secteur de la santé américain. Il exploite les vulnérabilités, utilise des scripts courants et tire profit des outils Windows standards pour voler les identifiants, se déplacer latéralement et déployer des rançongiciels. Le groupe utilise également la méthode de double extorsion, exigeant des rançons pour déverrouiller les systèmes et empêcher la mise en ligne des données volées.

Face aux attaques par rançongiciel de plus en plus sophistiquées, les institutions de santé doivent adopter une approche multidimensionnelle de la cybersécurité. Elles doivent être prêtes à résister et répondre aux cyber-incidents, et à s’en remettre, tout en préservant la continuité des soins aux patients.

Les conseils suivants fournissent un cadre complet permettant d’améliorer la résilience, d’assurer une reprise rapide, de favoriser une culture d’entreprise axée sur la sécurité et de promouvoir la collaboration dans le secteur de la santé.

Gouvernance : Assurer la préparation et la résilience

Un immeuble avec de nombreuses fenêtres sous un ciel bleu sans nuages

Une gouvernance efficace dans la cybersécurité du secteur de la santé est essentielle pour se préparer et répondre aux attaques par rançongiciel. Drs. Dameff et Tully, du Centre de San Diego pour la cybersécurité dans le secteur de la santé de l’Université de Californie, recommandent de mettre en place un cadre de gouvernance robuste avec des rôles clairs, des formations régulières et une collaboration interdisciplinaire. Cela permet aux institutions de santé d’améliorer leur résilience face aux attaques par rançongiciel et d’assurer la continuité des soins aux patients, même face à des perturbations importantes.

L’un des principaux aspect de ce cadre implique la destruction des silos entre le personnel clinique, les équipes de sécurité informatique et les professionnels de gestion des urgences pour développer des plans de réponse aux incidents cohérents. Cette collaboration interservices est essentielle pour préserver la sécurité des patients et la qualité des soins lorsque des systèmes technologiques sont compromis.

Drs. Dameff et Tully mettent également en évidence la nécessité d’avoir un corps ou conseil de gouvernance dédié qui se réunit régulièrement pour évaluer et mettre à jour les plans de réponse aux incidents. Ils recommandent de donner la possibilité à ces corps de gouvernance de tester ces plans de réponse via des simulations et exercices réalistes, s’assurant que le personnel au complet, y compris les praticiens plus jeunes qui peuvent ne pas être habitué aux dossiers papier, soit prêt à opérer efficacement sans outils numériques.

En outre, Drs. Dameff et Tully soulignent l’importance de la collaboration externe. Ils sont partisans de cadres nationaux et régionaux qui permettent aux hôpitaux de se soutenir les uns les autres lors d’incidents à grande échelle, faisant écho à la nécessité d’un "stock national stratégique" de technologies, qui peuvent remplacer temporairement les systèmes compromis.

Résilience et réponses stratégiques

La résilience de la cybersécurité du secteur de la santé s’étend au-delà de la protection des données, cela implique aussi le fait de garantir que des systèmes complets peuvent résister à des attaques et s’en remettre. Une approche complète de la résilience est essentielle, se concentrant non seulement sur la protection des données des patients, mais en renforçant également la totalité de l’infrastructure qui prend en charge les opérations de santé. Cela comprend le système dans son ensemble, c’est-à-dire : le réseau, la chaîne d’approvisionnement, les appareils médicaux et bien d’autres.

Adopter une stratégie complète de défense est essentiel à la création d’un état de la sécurité en couches, qui peut efficacement déjouer les attaques par rançongiciel.

Adopter une stratégie complète de défense est essentiel à la création d’un état de la sécurité en couches, qui peut efficacement déjouer les attaques par rançongiciel. Cette stratégie implique la sécurisation de chaque couche de l’infrastructure du secteur de la santé, du réseau aux points de terminaison, en passant par le cloud. En garantissant la mise en place de ces multiples couches de sécurité, les institutions de santé peuvent réduire le risque d’une attaque par rançongiciel réussie.

Pour les clients Microsoft, dans le cadre de cette approche en couches, les équipes de la Veille des menaces Microsoft recherchent activement des comportements mal intentionnés. Lorsque ce type d’activité est détecté, une notification directe est envoyée.

Il ne s’agit pas d’un service payant ou qui dépend d’un niveau : les entreprises de toute taille bénéficient de la même attention. Le but est de fournir rapidement une alerte lorsque des menaces potentielles, notamment les rançongiciels, sont détectées et d’assister dans les mesures à prendre pour protéger l’organisation.

Outre l’implémentation de ces couches de défense, il est essentiel d’avoir un plan de détection et de réponse aux incidents efficace. Le fait d’avoir un plan n’est pas suffisant, les institutions de santé doivent être prêtes à l’exécuter de manière efficace lors d’une attaque afin de minimiser les dommages et d’assurer une reprise rapide.

Enfin, les capacités de surveillance continue et de détection en temps réel sont des composants clés d’un cadre de réponse aux incidents robuste, garantissant que les menaces potentielles puissent être identifiées et traitées rapidement.

Pour plus d’informations sur la cyber-résilience dans le secteur de la santé, le Département de la Santé et des Services sociaux (HHS) des États-Unis a publié des Objectifs de performance en matière de cybersécurité (Cybersecurity Performance Goals, CPG) pour aider les institutions de santé à prioriser l’implémentation de pratiques de cybersécurité à fort impact.

Créés dans le cadre d’un processus de collaboration des secteurs privés et publics, à l’aide des cadres de cybersécurité, des directives, des meilleures pratiques et des stratégies courants du secteur, les CPG comprennent un sous-ensemble de pratiques de cybersécurité que les institutions de santé peuvent utiliser pour renforcer la cyber-préparation, améliorer la cyber-résilience et protéger les informations de santé et la sécurité des patients.

Mesures permettant de reprendre rapidement les opérations et de renforcer la sécurité après une attaque

La reprise après une attaque par rançongiciel nécessite une approche systématique pour assurer un retour à la normale rapide, tout en prévenant de futurs incidents. Ci-dessous, vous trouverez des mesures concrètes pour aider à évaluer les dommages, restaurer les systèmes impactés et renforcer les mesures de sécurité. En suivant ces directives, les institutions de santé peuvent aider à limiter l’impact d’une attaque et renforcer leurs défenses contre de futures menaces.
Évaluer l’impact et contenir l’attaque

Isolez les systèmes impactés immédiatement pour empêcher la propagation.
Effectuer une restauration à partir des bonnes sauvegardes connues

Assurez-vous que des sauvegardes propres sont disponibles et vérifiées avant les opérations de restauration. Conservez les sauvegardes hors connexion pour éviter qu’elles ne soient chiffrées par le rançongiciel.
Reconstruire les systèmes

Pour éliminer tout logiciel malveillant persistant, pensez à reconstruire les systèmes compromis au lieu d’appliquer des correctifs. Utilisez les directives de l’équipe de Réponse aux incidents Microsoft sur la façon de reconstruire les systèmes en toute sécurité. 
Renforcez les contrôles de sécurité après une attaque

Renforcez l’état de la sécurité après une attaque en traitant les vulnérabilités, en appliquant des correctifs aux systèmes et en améliorant les outils de détection des points de terminaison.
Procédez à une évaluation post-incident

En collaboration avec un fournisseur de sécurité externe, analysez l’attaque pour identifier les points faibles et améliorer les défenses en prévision de futurs incidents.

Créer une culture d’entreprise axée sur la sécurité

Un homme et une femme regardant le visage d’une femme.

Créer une culture d’entreprise axée sur la sécurité nécessite la collaboration continue de toutes les disciplines.

Créer une culture d’entreprise axée sur la sécurité nécessite la collaboration continue de toutes les disciplines. Détruire les silos entre les équipes de sécurité informatique, les responsables des urgences et le personnel clinique est vital pour mettre en place des plans de réponse aux incidents cohérents. Sans cette collaboration, le reste de l’hôpital pourrait ne pas être correctement préparer à répondre efficacement lors d’un cyber-incident.

Éducation et sensibilisation

Une formation efficace et une culture de signalement robuste sont des composants clés de la défense d’un institution de santé face aux rançongiciels. Étant donné que les professionnels de la santé donnent souvent la priorité aux soins apportés patients, ils peuvent ne pas se soucier de la cybersécurité, ce qui les rend plus vulnérables face aux cybermenaces.

Pour résoudre cela, une formation continue doit comprendre les bases de la cybersécurité, comme la façon de détecter des e-mails de hameçonnage, le fait d’éviter de cliquer sur des liens suspects et la façon de reconnaître les tactiques de piratage psychologique courantes.

Les ressources de Sensibilisation à la cybersécurité de Microsoft peuvent aider.

« Il est essentiel d’encourager le personnel à signaler les problèmes de sécurité sans avoir peur de représailles », explique M. Mott de chez Microsoft. « Au plus tôt vous pouvez signaler quelque chose, au mieux c’est. Si ce n’est pas grave, c’est la meilleure chose qui puisse arriver. »

Des exercices et simulations réguliers doivent imiter les attaques réelles, comme le hameçonnage ou le rançongiciel afin d’aider le personnel à mettre en pratique leur réponse dans un environnement contrôlé.

Partage d’informations, collaboration et défense collective

Étant donné que les attaques par rançongiciel sont globalement de plus en plus fréquentes (Microsoft observe une augmentation de 2,75 par rapport à l’année passée chez ses clients16), une stratégie de défense collective devient vitale. La collaboration (entre les équipes internes, les partenaires régionaux et les réseaux nationaux/mondiaux plus larges) est essentielle pour sécuriser les opérations de santé et assurer la sécurité des patients.

Le fait de réunir ces groupes pour développer et mettre en place des plans de réponse aux incidents complets peut empêcher un chaos opérationnel au cours des attaques.

Drs. Dameff et Tully soulignent l’importance d’unir les équipes internes, comme les médecins, les responsables des urgences et le personnel de sécurité informatique, qui travaillent bien souvent chacun de leur côté. Le fait de réunir ces groupes pour développer et mettre en place des plans de réponse aux incidents complets peut empêcher un chaos opérationnel au cours des attaques.

Au niveau régional, les institutions de santé devraient créer des partenariats qui permettent aux établissements de partager les capacités et les ressources, assurant que les soins aux patients restent ininterrompus même lorsque certains hôpitaux sont affectés par un rançongiciel. Cette forme de défense collective peut également permettre de gérer le surplus de patients et les répartir entre différents prestataires de santé.

Au-delà de la collaboration régionale, des réseaux de partage des informations au niveau national et global sont essentiels. Des Centres d’analyse et de partage des informations (Information Sharing and Analysis Centers, ISAC), comme Health-ISAC, servent de plateformes permettant aux institutions de soins d’échanger des informations clés sur les menaces. Errol Weiss, Responsable sécurité en chef chez Health-ISAC, compare ces organismes à des "programmes de surveillance du quartier virtuels", où les institutions membres peuvent rapidement partager des informations sur des attaques et des techniques d’atténuation éprouvées. Ce partage d’informations permet aux autres de se préparer à des menaces similaires ou de les éliminer, renforçant ainsi la défense collective à une plus grande échelle.

  1. [1]
    Données internes de Microsoft sur la Veille des menaces, T2, 2024
  2. [2]
    (Préambule du RSSI : Paysage actuel et émergeant des cybermenaces dans le secteur de la santé ; Health-ISAC et l’American Hospital Association [AHA])  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    « TRANSCRIPT: House Committee Hearing to Assess Microsoft’s Cybersecurity Shortfalls », Tech Policy Press, 15 juin 2024
  4. [4]
    « On average, healthcare organizations lose USD$900,000 per day to downtime from ransomware attacks », Comparitech, 6 mars 2024
  5. [5]
    « Healthcare Ransomware Attacks Continue to Increase in Number and Severity », The HIPAA Journal, septembre 2024
  6. [6]
    Hacked to Pieces? The Effects of Ransomware Attacks on Hospitals and Patients ; https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    Ransomware Attack Associated With Disruptions at Adjacent Emergency Departments in the US; Ransomware Attack Associated With Disruptions at Adjacent Emergency Departments in the US | Emergency Medicine | JAMA Network Open | JAMA Network
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    « Ascension Ransomware Attack Hurts Financial Recovery », The HIPPA Journal, 20 septembre 2024
  10. [10]
    « Patient Data Exposed in Phishing Attack on UC San Diego Health », The HIPPA Journal, 13 mars 2024
  11. [11]
    « Ransomware Attack Key Factor in Decision to Close Rural Illinois Hospital » The HIPPA Journal, 14 juin 2023
  12. [12]
    « Healthcare Ransomware Attacks Continue to Increase in Number and Severity », The HIPAA Journal, septembre 2024
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    There were more hospital mergers in 2023, and financial distress is driving more deals (chiefhealthcareexecutive.com)
  15. [15]
    Interoperability and Methods of Exchange among Hospitals in 2021 | HealthIT.gov
  16. [16]
    Rapport de défense numérique Microsoft 2024, Microsoft, page 27
  17. [17]
    Télémétrie de la Veille des menaces Microsoft, 2024
  18. [18]
    « Known Exploited Vulnerabilities Catalog », CISA, 2024
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    Données de la Veille des menaces Microsoft sur les cybermenaces dans le secteur de la santé, 2024
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
Rançongiciel Cybercriminalité

Plus d’informations sur la sécurité

Guide d’hygiène de la cyber-résilience

La cyberhygiène de base reste le meilleur moyen de défendre les identités, les appareils, les données, les applications, l’infrastructure et les réseaux d’une organisation contre 98 % de toutes les cybermenaces. Découvrez des conseils pratiques dans un guide complet.
En savoir plus

Au cœur de la lutte contre les pirates informatiques qui ont perturbé les hôpitaux et mis des vies en danger

Apprenez-en davantage sur les menaces émergentes les plus récentes grâce aux données et aux recherches de Microsoft sur les menaces. Obtenez des analyses sur les tendances et des recommandations concrètes pour renforcer votre première ligne de défense.
En savoir plus

Elle se nourrit de l’économie de la confiance : la fraude par piratage psychologique

Explorez un paysage numérique en pleine évolution où la confiance est à la fois une monnaie et une vulnérabilité. Découvrez les tactiques de fraude par piratage psychologique les plus utilisées par les cyberattaquants et passez en revue les stratégies qui peuvent vous aider à identifier et à déjouer les menaces par piratage psychologique conçues pour manipuler la nature humaine.
En savoir plus

Suivez la Sécurité Microsoft