septembre 2022 par Florian Malecki, Executive Vice-President, Marketing, chez Arcserve

Les attaques de données dans le secteur de la santé ont atteint un niveau record en 2021. En effet, selon un rapport de l’Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur santé, le CERT Santé a dû faire face à 733 déclarations d’incidents en 2021 soit une augmentation de presque 100 % par rapport à 2019 (392) et 2020 (369). Pourquoi ? Parce que les établissements de santé sont une cible précieuse et vulnérable.

Les pirates s’en prennent aux établissements de santé car les données des patients et les systèmes hospitaliers représentent des proies lucratives. Les pirates savent qu’ils peuvent exiger une rançon élevée s’ils compromettent les données des patients ou les systèmes de santé. Ils savent également que les établissements de santé paieront probablement la rançon - et rapidement, car la compromission des données et des systèmes peut coûter des vies. Les établissements de santé, bien sûr, comptent sur un accès constant et immédiat aux données des patients pour dispenser des soins. S’ils n’ont pas cet accès, la vie de leur patient est en jeu.

Malheureusement, les attaques contre les établissements de santé ne vont cesser d’augmenter dans les années à venir puisque certains groupes de pirates informatiques se concentrent désormais uniquement sur ces établissements.

Le "air gapping" peut protéger les données relatives aux établissements de santé

Le ransomware fonctionne en parcourant toutes les copies des données, y compris les données primaires, secondaires et de sauvegarde. Les attaquants chiffrent ou exfiltrent ensuite les données. L’un des moyens les plus pratiques et les plus efficaces de sécuriser les données de sauvegarde contre une attaque de ransomware est le "air gapping". Il en existe deux types : Le premier est un air gapping traditionnel, physique, dans lequel une organisation déconnecte le bien numérique de tous les autres appareils et réseaux. Cet air gapping est la mesure de cybersécurité ultime car il crée une séparation physique entre un réseau sécurisé et tout autre ordinateur ou réseau. En utilisant un air gapping physique, les organisations stockent les données de sauvegarde sur des supports tels que des bandes ou des disques, puis déconnectent entièrement ces supports de leur environnement informatique de production.

Le deuxième type d’air gapping est appelé air gapping logique. Un air gap logique s’appuie sur des contrôles d’accès au réseau et aux utilisateurs pour isoler les données de sauvegarde de l’environnement informatique de production. Cette approche s’apparente à une rue à sens unique sur laquelle les données sont poussées vers leur destination prévue, qu’il s’agisse d’un dispositif de stockage sur site ou d’une installation personnalisée. La clé ici est que le contrôle et la gestion de ces données, comme la façon dont elles sont conservées ou qui peut les modifier, n’est pas disponible au travers de ce même système ou chemin. Quiconque souhaite gérer ou modifier les données doit passer par des canaux d’authentification entièrement différents.

La spécificité de l’air gapping est qu’il est pratiquement impossible pour un ransomware de compromettre les sauvegardes de données. C’est presque comme si les données portaient une cape d’invisibilité, les rendant imperméables à tout logiciel malveillant qui parvient à pénétrer dans le réseau.

L’autre étape essentielle est la protection des données 3-2-1-1

Les établissements de santé peuvent déployer une deuxième mesure contre les ransomwares, la protection des données 3-2-1-1. Il s’agit de conserver trois copies de sauvegarde de données sur deux supports différents, tels que des bandes et des disques, l’une des copies étant placée hors site pour permettre une récupération rapide. En outre, il faut disposer d’une copie des données sur un support de stockage immuable. Le stockage immuable protège les données en permanence en prenant un snapshot de celles-ci à intervalles de 90 secondes. Ainsi, même en cas d’attaque par ransomware, il est possible de récupérer les données immédiatement.

En cas d’attaque, de panne ou de catastrophe naturelle, les snapshots des données permettent de revenir à un état très actuel du fichier, au plus proche de sa toute dernière version. Les snapshots ne peuvent être modifiés, supprimés ou écrasés. Ils protègent donc les données contre les attaques de ransomware, les erreurs humaines et les défaillances matérielles. Les établissements de santé qui déploient des snapshots immuables peuvent maintenir la continuité de leurs opérations, même en cas d’attaque par ransomware.

Les établissements de santé doivent agir rapidement pour sécuriser leurs données

Pendant des années, la plupart des entreprises ont pu compter sur une stratégie de cybersécurité par le nombre, qui consiste à se convaincre que les cybercriminels attaqueront quelqu’un d’autre. Cette stratégie est désormais caduque. Les établissements de santé doivent partir du principe qu’ils seront, tôt ou tard, la cible d’une attaque par ransomware.

L’impact d’une violation de données dans le secteur de la santé peut être catastrophique, car tous les aspects des soins de santé sont désormais numériques, du diagnostic aux soins de longue durée en passant par toutes les étapes intermédiaires. Les soins de santé génèrent d’énormes volumes de données à tous les niveaux de soins et d’engagement - et ces données ne pourraient pas être plus critiques car des vies humaines en dépendent.

Compte tenu de la quantité et de la valeur des données de santé, il est urgent de mettre en œuvre une stratégie de protection et de récupération à plusieurs niveaux. La question n’est pas de savoir si une telle stratégie doit être mise en œuvre ou même quand. Il s’agit de savoir à quelle vitesse le faire. Les établissements de santé doivent rapidement mettre en œuvre l’air gapping et d’autres initiatives de protection des données pour se protéger. C’est en effet une question de vie ou de mort.