Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Covid-19-Cyberattaques des centres hospitaliers : Quand des hackers ont du coeur !

juin 2020 par Yogosha

Face à la recrudescence ces dernières semaines de cyberattaques dans les établissements de santé, Yogosha, 1ère plateforme privée en France de bug bounty a lancé un appel auprès de sa communauté, pour venir en aide aux centres hospitaliers français. Une vingtaine de hackers ont répondu présents et travaillent bénévolement depuis un mois pour identifier et corriger à tous les niveaux ces vulnérabilités : systèmes d’information, sécurité physique des bâtiments, matériels médical connectés... Brice Augras, responsable du pôle Cybersécurité du Groupe Asten et ses équipes participent à cette initiative unique en France.

Chaque année, Yogosha et sa communauté de chercheurs éthiques en sécurité organisent bénévolement un programme de cybersécurité auprès d’ONG. Nommé Hack4Values, il permet aux ONG d’identifier et de corriger les failles de sécurité présentes sur leurs technologies avant qu’elles puissent être exploitées à des fins malveillantes. Ont pu notamment en bénéficier Amnesty International ou Communication sans frontières.

« Des individus profitent de cette période de crise sanitaire pour lancer des cyberattaques contre les centres hospitaliers. Le recours ces dernières semaines au télétravail et aux outils collaboratifs dans ces établissements a facilité la multiplication de ces actes malveillants. Nous avons donc décidé de mobiliser notre communauté autour de cette problématique. Sachant que certains de nos membres nous avaient alertés spontanément sur ce sujet et souhaitaient agir », explique Yassir KAZAR, PDG et Co Fondateur de Yogosha.

« Nous n’avons pas hésité un instant à participer à ce programme initié par Yogosha. En cette période de crise, nous sommes fiers que notre expertise métier puisse venir en aide aux centres hospitaliers. Cette initiative bénévole a d’autant plus de sens pour nous que notre filiale Asten Cloud déjà certifiée ISO 27001, pour ses activités d’hébergement et d’infogérance est en cours de certification HDS », explique Jean-Christophe CAGNARD, Président du Groupe Asten.

« Ce programme permet aux responsables informatiques et sécurité de ces établissements de solliciter l’aide de nos chercheurs en sécurité pour la découverte de vulnérabilités mais également pour de l’expertise technique en matière de sécurité numérique (Gestion de ransomware, attaques en déni de service, etc) », poursuit Yassir KAZAR.

Identifier et remédier aux failles

La vingtaine de chercheurs bénévoles intervient à distance sur les systèmes à auditer : site internet, accès distant, VPN SSL pour les prestataires et les salariés, Accès WAN jusqu’au firewall, systèmes métiers, accès aux données patients, systèmes de télémédecine, accès aux objets connectés/IoT (respirateurs, scanners, etc), systèmes industriels (restauration, blanchisserie), etc.

« Lorsqu’un hacker identifie une vulnérabilité, il rédige un rapport sur la plateforme Yogosha avec un descriptif et des recommandations pour la corriger. Le chercheur accompagne ensuite l’établissement dans la lecture des rapports et à organiser les correctifs. En cas de questions, un système de messagerie a été mis en place. Une fois le correctif appliqué, le centre hospitalier peut demander au chercheur un « retest » pour le valider. Les projets durent en moyenne deux mois avec des points réguliers (toutes les 2 à 3 semaines). L’accompagnement est très important », conclut Yassir KAZAR.

Le centre hospitalier mémorial de Saint-Lo fut l’un des premiers à intégrer le programme.

« Les établissements de santé et tout particulièrement les hôpitaux sont devenus des cibles pour certains cybercriminels. Le CHU de Rouen, le 15 novembre 2019 ou l’APHP le 22 mars dernier, en pleine crise sanitaire du COVID19, en sont des exemples.

C’est un sujet essentiel et majeur pour nous, en tant qu’hébergeur de données de santé. Données particulièrement sensibles, elles sont recherchées par les cybercriminels. Le système d’information d’un hôpital est devenu un élément indispensable pour assurer la qualité des soins. Sans système d’information, le fonctionnement d’un établissement de santé peut être paralysé ! Il ne faut donc pas prendre le sujet à la légère, bien au contraire.

Je ne peux que saluer l’initiative conjointe prise par YOGOSHA et ASTEN qui nous ont proposé de nous joindre à ce programme de cybersécurité. Il nous a permis de progresser et de nous améliorer dans un domaine technique extrêmement complexe et pointu.

Nous avons pu travailler en toute confiance et améliorer la sécurité de notre système d’information, même si nous savons que dans ce domaine, il n’y a pas de certitude ! » explique Francis BREUILLE, Directeur des Systèmes d’information du centre hospitalier de Saint-Lo et de Coutances

Questions à Brice AUGRAS, chercheur du Groupe Asten, membre de Yogosha

1/ Quelles sont les principales failles observées ?

« Les principales observations sont celles d’une sécurité insuffisante sur l’ensemble des actifs d’un système d’information directement exposé sur Internet. Cette problématique a été accentuée pendant le confinement, avec la mise à disposition rapide de services complémentaires du système d’information (VPN, Bureau à distance, etc…). Dans un second temps, la sécurité physique des établissements de santé est encore à ce jour un vecteur négligé. Avec des flux de patients conséquents et une multitude de professionnels de santé qui exercent au sein de la structure hospitalière, il est difficile d’identifier « qui est qui ».

2/ Comment y remédier ? Quelles sont vos principales recommandations ?

« La difficulté propre à ce secteur d’activité réside dans la capacité à proposer des corrections techniques n’impactant pas les besoins fonctionnels de la structure hospitalière (Exemple : On ne peut demander à une infirmière en salle d’accueil des urgences de verrouiller son poste à chaque fois.) C’est dans cette problématique que réside le vrai challenge quant à innover et à trouver les meilleures approches de changement à mener avec les hôpitaux Français. ».

3/ Un cybercriminel peut-il prendre à distance le contrôle d’un respirateur artificiel ?

« Le danger n’est pas uniquement propre aux respirateurs artificiels. En effet, tout équipement issu du domaine biomédical qui, à travers sa fonction, crée un lien entre le système d’information d’un hôpital et le patient est une source de risque majeur ! »

Depuis plus de 10 ans, ces problématiques sécuritaires dans le domaine de l’équipement biomédical ont été identifiées. Des preuves historiques existent : pompe à insuline, pacemaker, etc…"

4/ Quels sont les profils des cybercriminels ? Cherchez-vous à les identifier pour les « livrer » aux autorités ?

« On observe en ce moment une recrudescence des individus opportunistes qui profitent et exploitent le contexte COVID-19 pour cibler spécifiquement ce secteur d’activité en crise.
Les attaques les plus sophistiquées et impactantes sont menées par des groupes APT (menaces persistantes avancées). Dans le cas où le processus d’investigation mène à l’identification de la source à l’origine de l’attaque, nous accompagnons les centres hospitaliers dans la démarche appropriée (signalement PHARROS, dépôt de plainte, signalement ANSSI/CNIL, etc…). »




Voir les articles précédents

    

Voir les articles suivants