Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

75 % des prestataires de santé utilisent des équipements au système d’exploitation obsolète

janvier 2022 par Kaspersky

Selon le dernier rapport de Kaspersky sur le secteur de la santé, seulement 20 % des prestataires de santé européens – et 10 % des Français – assurent que leurs équipements utilisent les dernières versions logicielles. Pire encore : en France, 50 % des sondés ont conscience d’utiliser des systèmes obsolètes et 40 % ne savent pas si leur système d’exploitation est à jour ou non. Une situation qui constitue une vulnérabilité supplémentaire vis-à-vis des risques cyber

En médecine, l’innovation a toujours joué un rôle essentiel et littéralement vital. La récente pandémie a toutefois obligé le secteur à accélérer le déploiement de nouveautés : selon une récente enquête d’Accenture, 81 % des dirigeants dans le secteur de la santé ont en effet constaté cette numérisation à marche forcée. Ce virage massif s’accompagne-t-il d’une montée en puissance de la sécurité ? Pour le savoir, Kaspersky a interrogé des organisations médicales dans le monde entier.

Il en ressort que les logiciels obsolètes sont très répandus dans ces organisations. Les principales raisons invoquées sont, entre autres, le coût élevé des mises à jour, les problèmes de compatibilité ou l’absence de savoir interne en la matière. En France, le problème vient avant tout du manque d’expertise et de connaissances informatique des acteurs des organisations médicales.

L’utilisation d‘outils dépassés est une source potentielle d’incidents cyber. Lorsqu’un développeur arrête le support pour un produit, il arrête de publier des mises à jour, avec entre autres des améliorations ou des correctifs de sécurité pour des vulnérabilités récemment découvertes. En l’absence de correctif, ces failles peuvent rapidement devenir une première voie d’accès à l’infrastructure de l’organisation, et ce même sans grandes compétences d’attaque. Les organisations médicales, qui collectent de nombreuses données à la fois sensibles et précieuses, comptent parmi les cibles les plus lucratives. Or un appareil non mis à jour facilite les intrusions criminelles.

Quel est niveau de préparation du secteur médical en termes de cybersécurité ? Seulement 28 % des salariés ont confiance dans la capacité de leur organisation à repousser toute attaque ou intrusion dans son infrastructure. Plus étonnant, alors que les salariés français sont les premiers à déclarer manquer de compétences informatiques, 40 % d’entre eux estiment que leur organisation est bien armée face aux attaques. Cette confiance est paradoxale dans la mesure où ils ne sont que 20 % à penser que leur organisation dispose d’une bonne sécurité informatique avec du matériel et des logiciels appropriés et à jour (contre 27 % en Europe).

En parallèle, plus d’un tiers (34 %) des Européens et 20 % des Français admettent que leur organisation a déjà été la cible d’une attaque de ransomware.

Pour Sergey Martsynkyan, VP, Corporate Product Marketing, Kaspersky : « le monde de la santé est en train de se tourner activement vers les dispositifs connectés. S’ils facilitent l’accès à l’assistance médicale, ils posent toutefois des questions de cybersécurité inédites, propres aux systèmes embarqués. Notre rapport confirme que de nombreuses organisations médicales utilisent encore des systèmes d’exploitation obsolètes, dont la mise à niveau pose problème. Une stratégie de modernisation s’impose mais, en attendant, diverses solutions et mesures peuvent contribuer à réduire les risques. En étant associé avec une sensibilisation du personnel médical, ces mesures améliorent notablement le niveau de sécurité et ouvrent la porte à l’évolution future du secteur de la santé. »

Afin de minimiser la probabilité d’incidents dus à des systèmes obsolètes et vulnérables, Kaspersky conseille aux organisations médicales de prendre les mesures suivantes :

• Inculquer à votre personnel des principes de base en matière de cybersécurité, car beaucoup d’attaques ciblées sont exécutées à partir de courriels de phishing ou par des techniques d’ingénierie sociale ;
• Conduire un audit de cybersécurité sur votre réseau et résorber toute faille détectée à l’intérieur ou dans le périmètre du réseau ;
• Installer des solutions anti-APT et EDR, qui offrent des capacités de détection et de découverte des menaces, d’investigation et de traitement des incidents. Fournir aux SOC l’accès aux toutes dernières données en matière de menaces et leur dispenser des formations régulières pour les aider à actualiser leurs compétences. Toutes ces mesures sont intégrées dans la solution Kaspersky Expert Security ;
• En plus d’une protection efficace des terminaux, certains produits ciblés peuvent aider à se défendre contre les attaques de grande ampleur. La solution Managed Detection and Response permet d’anticiper et de bloquer les attaques avant que les acteurs malveillants n’arrivent à leurs fins ;
• Renforcer les systèmes embarqués dans des dispositifs médicaux rarement mis à jour. La solution Kaspersky Embedded System Security offre une efficacité opérationnelle même sur les logiciels anciens et les systèmes hérités ou peu performants, sans surcharger le système. Dans sa dernière mise à jour, elle offre des fonctionnalités de gestion dans le cloud, et permet donc de piloter les dispositifs embarqués depuis la même console d’administration que les autres terminaux.


Voir les articles précédents

    

Voir les articles suivants