Les données de l’entreprise de cybersécurité Check Point Software Technologies montrent qu’en France en 2022, une entreprise du secteur de la santé a été confrontée en moyenne à 644 cyberattaques par semaine, soit une augmentation de 191 % par rapport à 2021 (contre + 74 % dans le monde sur la même période pour une moyenne de 1463 attaques). C’est le 7ème secteur français le plus fréquemment attaqué et la plus forte augmentation de tous les secteurs observés en France, devant l’industrie manufacturière (+ 113 %) et les vendeurs de logiciels (+ 106 %). Dans le monde, c’est la 3ème plus forte augmentation observée dans l’étude CPR, après l’Irlande (+ 473% avec 2 216 cyberattaques) et la Chine (+ 416 % avec 929 cyberattaques), ce qui en dit long sur l’attractivité récente de la France pour les attaquants du monde entier.

En cette fin d’année en particulier, nous constatons une augmentation plutôt alarmante des attaques de ransomware visant les services de santé dans le monde. Alors qu’en été et jusqu’en septembre, près d’une entreprise sur 50 était touchée par un ransomware, on observe une augmentation progressive de ces attaques à partir d’octobre, avec un tournant majeur au début du mois de décembre, où leur nombre explose, une entreprise de santé sur 13 ayant été visée dans la seconde moitié du mois de décembre.

De même, nous avons depuis constaté une augmentation des attaques par ransomware dont l’objectif est le vol d’informations. Ces attaques sont plus courantes dans le secteur de la santé depuis la fin du mois d’octobre, ce qui tend à prouver l’attraction croissante de ce secteur.

Le nombre de vulnérabilités potentielles augmente également avec la multiplication des dispositifs IoT dans les soins de santé. Check Point a déjà démontré qu’un appareil à échographie, par exemple, pouvait être attaqué et bloqué, ou qu’une entreprise pouvait être attaquée au moyen d’ampoules électriques connectées.

Certaines menaces peuvent se cacher dans des systèmes compromis pendant des semaines, voire des mois, et voler des données sans être détectées, guettant le bon moment pour attaquer. Ainsi, la plupart des attaques ne sont découvertes que longtemps après qu’elles ont réellement commencé. Même si les demandes de rançon n’apparaissent pas directement sur votre écran et que vos ordinateurs ne sont pas bloqués, vous êtes peut être victime d’une attaque depuis longtemps.

La pandémie de coronavirus a démontré le caractère délibéré et méthodique de la cybercriminalité. Les attaquants ont profité de la situation chaotique pour attaquer à plusieurs reprises les réseaux hospitaliers à un moment où les établissements de soins étaient le moins à même de réagir.

Bien qu’il soit difficile de déterminer exactement l’impact des cyberattaques sur la santé des patients, étant donné que de nombreux facteurs interviennent et que des complications, voire des décès, peuvent survenir des semaines ou des mois après une attaque, il est clair, d’après les exemples ci-dessous, que nous sommes confrontés à un énorme problème auquel il faut s’attaquer.

En novembre, le FBI a lancé une mise en garde contre le ransomware Hive, qui s’attaque activement aux systèmes de santé. Découvert pour la première fois en juin 2021, Hive crypte les fichiers et perturbe les processus de sauvegarde lors des attaques. De plus, le groupe menace de publier les informations volées sur le site HiveLeaks si une rançon n’est pas payée. Les attaquants ont également téléphoné à certaines des victimes pour intensifier la menace. Cette pratique est de plus en plus courante : en plus de crypter les données, des informations sensibles sont volées qui peuvent être publiées ou utilisées pour de nouvelles attaques.

Hive a été utilisé, par exemple, dans l’attaque du Lake Charles Memorial Hospital en Louisiane en octobre 2022. Bien que le chiffrement des systèmes ait été empêché, les pirates ont pu accéder aux informations personnelles de près de 270 000 patients. Le FBI et d’autres agences fédérales soulignent que les cybercriminels qui utilisent le ransomware Hive ont extorqué plus de 100 millions de dollars à plus de 1 300 entreprises dans le monde en seulement un an et demi, et dans de nombreux cas, il s’agissait d’organismes de santé.

Le ministère américain de la santé et des services sociaux a également mis en garde contre les attaques du ransomware Royal, qui a mis hors service le circuit automobile le plus populaire d’Angleterre, Silverstone, en novembre dernier, et qui constitue une menace directe pour les entreprises du secteur de la santé.

Récemment, un hôpital français de la banlieue de Versailles a dû annuler des opérations et transférer des patients après une attaque par ransomware. L’hôpital André-Mignot du Chesnay-Rocquencourt a été touché par une cyberattaque qui a mis des ordinateurs hors d’usage et a dû transférer six patients du service de réanimation et du service néonatal vers des hôpitaux voisins. Il a également fallu renforcer le personnel, car les fonctions de plusieurs appareils critiques n’ont pu être entièrement rétablies.

En septembre, un autre hôpital français, le Centre Hospitalier Sud Francilien, a été confronté à une attaque de grande envergure par le groupe LockBit 3.0. Celui-ci a exigé une rançon de 10 millions de dollars. Quelques mois plus tôt, le groupe hospitalier GHT Cœur Grand Est a déclaré avoir été contraint de couper les connexions internet des hôpitaux de Vitry-le-François et Saint-Dizier après avoir reçu une demande de rançon de 1,3 million de dollars.

Le secteur de la santé est également la cible de la Daixin Team, un groupe de pirates qui utilise un ransomware créé à partir du code source du ransomware Babuk Locker pour lancer ses attaques. Daixin Team encrypte les dossiers médicaux, les données de diagnostic et l’accès aux services intranet, et vole également les données personnelles et les informations de santé des patients. Il menace de divulguer ces données lorsqu’une demande de rançon est formulée.

SickKids, l’un des plus grands hôpitaux pour enfants du Canada, a déclaré qu’il faudra plusieurs semaines pour restaurer complètement ses systèmes informatiques après les attaques de ransomware, lesquelles pourraient affecter le traitement de certains patients.

Fin octobre 2022, une attaque par ransomware a interrompu les activités d’un hôpital d’Osaka, qui a dû suspendre ses services médicaux habituels car son système de gestion des dossiers médicaux électroniques était désactivé. De même, fin novembre de la même année, les réseaux informatiques de trois hôpitaux de Brooklyn, dans l’État de New York, ont été attaqués et ont dû revenir aux dossiers médicaux papier des patients après une cyberattaque.

Le géant américain de la santé CommonSpirit Health, qui gère 700 sites et 142 hôpitaux dans 21 États, a indiqué début décembre que des données concernant plus de 620 000 patients, y compris des dossiers médicaux électroniques, avaient été divulguées en septembre et octobre 2022. Puis en novembre, une attaque contre trois autres hôpitaux de New York a contraint les médecins à utiliser des dossiers papier, entraînant ainsi des retards dans les soins.

Le groupe cybercriminel russe Conti est également responsable d’un certain nombre d’attaques d’extorsion contre des hôpitaux.

Et il y a encore bien d’autres attaques dont nous n’avons pas encore connaissance. Il ne s’agit donc pas d’attaques aléatoires, mais d’un effort organisé par un certain nombre de bandes professionnelles pour attaquer directement le secteur des soins de santé, ce qui signifie le développement de nouvelles menaces.

Le paiement effectif de la rançon peut par ailleurs encourager les cybercriminels à lancer de nouvelles attaques. Et ce alors même qu’il ne garantit pas la restauration des fichiers, et que le retour à la normale peut prendre des semaines, voire des mois.

Certains gouvernements tentent également de réagir à la gravité de la situation. Le gouvernement australien, par exemple, envisage une nouvelle législation qui rendrait impossible le paiement de rançons, ce qui pourrait modifier la cyber-stratégie de nombreuses entreprises.

Que peuvent donc faire les entreprises de santé pour se protéger des cybermenaces ? Il est important de noter qu’une attaque par ransomware a généralement débuté par une autre menace restée invisible, et que le chiffrement des fichiers et la demande de rançon n’en sont qu’une des étapes subséquentes. Il est donc essentiel de se protéger contre tous les types de menaces et de savoir comment réagir.

Les conseils de sécurité Check Point pour les établissements de santé :

Méfiez-vous des chevaux de Troie. Les attaques de ransomware ne commencent généralement pas par un ransomware. Ryuk et d’autres types de ransomware utilisent des chevaux de Troie dans la phase initiale. L’infection par un cheval de Troie précède de plusieurs jours voire semaines une attaque par ransomware. Les équipes de sécurité doivent donc rechercher les infections par Trickbot, Emotet, Dridex et Cobalt Strike sur leurs réseaux et les supprimer rapidement avant qu’elles ne puissent préparer le terrain pour un ransomware.
Restez vigilant les week-ends et les jours fériés. La plupart des attaques de ransomware ont lieu les week-ends et les jours fériés. Les pirates essaient de cibler des moments où les équipes informatiques et de sécurité sont moins présentes et où la réaction à la menace est plus lente.
Utilisez un anti-ransomware. Les attaques de ransomware sont sophistiquées, mais une solution anti-ransomware réparera les éventuels dégâts et remettra tout en ordre en quelques minutes. La protection contre les ransomware détecte toute activité inhabituelle, comme l’ouverture et le chiffrement d’un grand nombre de fichiers. La protection contre les ransomware détecte toute activité inhabituelle, comme l’ouverture et le chiffrement d’un grand nombre de fichiers.
L’objectif du ransomware est bien souvent de forcer la victime à payer une rançon pour récupérer l’accès ses données chiffrées. Toutefois, cela n’est efficace que si la cible perd effectivement l’accès à ses données. En cas de problème, vos données doivent pouvoir être récupérées facilement et rapidement. Il est donc impératif d’effectuer des sauvegardes constantes, voire automatiques sur les appareils des collaborateurs, et de ne pas compter sur le fait que ces derniers se rappelleront d’activer la sauvegarde eux-mêmes.
Limiter l’accès aux seules informations et segments nécessaires. Pour minimiser l’impact d’une attaque réussie, il est important de veiller à ce que les utilisateurs n’aient accès qu’aux informations et ressources dont ils ont absolument besoin pour faire leur travail. La segmentation de votre réseau minimise le risque de propagation incontrôlée des ransomware dans votre entreprise. Il peut s’avérer difficile de gérer les conséquences d’une attaque par ransomware sur un seul système, mais réparer les dégâts après une attaque à l’échelle d’un réseau est encore plus difficile.
La sensibilisation est un élément essentiel de la protection. Les employés doivent être capables de reconnaître les menaces potentielles. Dans les faits, de nombreuses cyberattaques commencent par un phishing ciblé qui, sans contenir de malware, utilise l’ingénierie sociale pour inciter les utilisateurs à cliquer sur un lien malveillant ou à fournir des informations sensibles. La formation des utilisateurs est donc l’un des éléments les plus importants de la protection.
Installez régulièrement les mises à jour et les correctifs. WannaCry a durement frappé les entreprises du monde entier en mai 2017, infectant plus de 200 000 ordinateurs en trois jours. Pourtant, un correctif pour la vulnérabilité exploitée EternalBlue était disponible un mois avant l’attaque. Les mises à jour et les correctifs s’installent immédiatement et automatiquement. Corrigez et mettez à jour les anciennes versions des logiciels et des systèmes.. Mais dans les hôpitaux, dans de nombreux cas, cela n’est pas possible pour diverses raisons. Par conséquent, nous recommandons l’utilisation d’un système de prévention des intrusions (IPS) avec des capacités de correctifs virtuels pour empêcher les tentatives d’exploitation des faiblesses des systèmes ou applications vulnérables. Un IPS mis à jour aide les organisations à rester en sécurité.
Tout sécuriser et faire au mieux. Ne rien sous-estimer, les ordinateurs, les serveurs, les dispositifs mobiles et même les ampoules connectées peuvent constituer un point d’entrée et une porte d’accès à votre organisation pour les pirates. Par conséquent, utilisez toujours les meilleures solutions de sécurité et, si nécessaire, faites appel aux services d’équipes externes spécialisées dans la détection des menaces.

— -