Connexion
Abonnez-vous

Les conséquences bien réelles des cyberattaques sur le secteur de la santé

Cybernosocomial

Les conséquences bien réelles des cyberattaques sur le secteur de la santé

L’ANSSI vient de mettre en ligne son rapport sur l’état de la menace informatique dans le secteur de la santé, qui est plus exposé depuis la pandémie de Covid-19. Les défenses dans ce secteur sont très hétérogènes, comme les finalités des attaques. Seules constantes : les coûts de remédiation et les risques réels pour les patients.

Le 07 novembre à 16h01

Dans son préambule (pdf), l’ANSSI rappelle que le secteur de la santé « se compose d’un ensemble d’acteurs caractérisés par leur fragmentation et leur hétérogénéité », ce qui complique évidemment la tâche lorsqu’il s’agit de renforcer les défenses cyber au niveau du secteur au complet.

Ces acteurs sont la cible de personnes malveillantes venant de plusieurs sphères : cybercriminelle (pour des vols de données et/ou des rançons), hacktiviste (pour faire passer des messages, souvent en réaction à l’actualité) et soutenus par des États (Russie, Chine, Iran et Corée du Nord sont cités en exemple) pour de l’espionnage, notamment sur les vaccins et traitements durant la pandémie.

Le niveau de sécurité est … « variable »

Sur les attaques par rançongiciels, l’ANSSI note que, « depuis 2020, le secteur de la santé a continué à être la cible d’attaques ». Durant la pandémie de Covid-19, « de nombreux opérateurs de rançongiciel ont tiré profit de la pression pesant sur le secteur de la santé ». Néanmoins, « le secteur de la santé n’apparait pas être une cible spécifique des opérateurs de rançongiciels, qui semblent majoritairement agir de manière opportuniste contre des entités vulnérables de toute nature ».

Deux phénomènes peuvent expliquer cette visibilité : les exigences légales de signalement et la « couverture médiatique plus importante reçue par les structures accueillant du public lorsqu’elles sont victimes d’incidents ». Mais il faut aussi noter que « le niveau de sécurité variable des entités du secteur et notamment des SI hospitaliers, favorise leur ciblage ».

30 compromissions et chiffrements en 2022 et 2023

Entre 2022 et 2023, 30 compromissions et chiffrements par des rançongiciels ont été signalés à l’ANSSI. Ces incidents sur des établissements de santé « représentent 10 % des incidents liés à des rançongiciels signalés à l’ANSSI sur cette période ». Les vecteurs d’attaque sont nombreux : Lockbit (dont Lockbit 3.0), NoEscape, Bitlocker, Bianlian, Phobos, Blackcat, Blackhunt, Wannacry, Scarab et ViceSociety.

L’ANSSI se fait l’écho d’une étude d’octobre 2023 de l’université du Minnesota qui montre que, dans le cadre des hôpitaux, « ce type d’intrusion informatique pouvait augmenter le risque de mortalité des patients déjà admis au moment de l’attaque »… ce qui ne devrait surprendre personne.

Des mois de travaux et des millions d’euros

L’Agence explique que « la remédiation des attaques par rançongiciel et le retour au mode de fonctionnement nominal peut durer jusqu’à plusieurs mois et générer des coûts élevés liés ».

Par exemple, l’attaque contre le centre hospitalier Sud Francilien aurait couté 7 millions d’euros. Si dans certains cas la remédiation est rapide, « la majorité rencontre de fortes difficultés », explique l’Agence nationale de la sécurité des systèmes d'information.

Payer une rançon ne paye pas

L’ANSSI profite de son analyse sur le système de santé pour passer un message sur les rançons : « le paiement d’une rançon dans le contexte d’une attaque par rançongiciel ne permet pas nécessairement à une entité de se prémunir contre de nouvelles attaques ».

Elle donne, en exemple, le cas du gestionnaire de santé américain Change Healthcare. Attaqué en février 2024, l’entreprise aurait payé la rançon. « Toutefois, quelques mois plus tard, l’entité a à nouveau été victime d’un chantage à la divulgation émanant d’un autre groupe cybercriminel qui prétendait être également en possession de données exfiltrées […] suite à un conflit interne entre cybercriminels ».

Le rapport permet aussi d’avoir une idée des tarifs. Un pirate nommé Ansgar aurait mis en vente « près de sept téraoctets de données personnelles et médicales de citoyens australiens exfiltrées des systèmes de Medisecure, prestataire australien de services de prescription électronique, pour la somme de cinquante mille dollars ».

Tiers payant : les données pourraient être revendues ou exploitées

Et la France n’est pas en reste, notamment concernant les fuites de données ayant affecté les prestataires du tiers payant Viamedis et Almerys en février 2024. La finalité « demeure pour le moment inconnue. Toutefois, les données exfiltrées pourraient vraisemblablement être revendues ou exploitées à des fins de fraude ».

Concernant les attaques à portée hacktiviste, l’ANSSI rappelle celle contre l’Assistance Publique-Hôpitaux de Paris qui avait été « revendiquée sur le réseau social Telegram par le groupe hacktiviste Anonymous Sudan15 en réponse à la mort de Nahel Merzouk ».

Cette année, suite à l’arrestation de Pavel Durov (Telegram), « de nombreux groupes hacktivistes pro-russes parmi lesquels le groupe Cyber Army of Russia Reborn ont revendiqué des attaques par DDoS contre des sites web d’entités françaises de secteurs variés ».

Des recommandations en pagaille

L’ANSSI termine son bilan par une dizaine de pages de recommandations. On y retrouve bon nombre d’actions de bon sens, comme sensibiliser les collaborateurs, réaliser une cartographie de son SI et de son environnement, inclure des exigences de sécurité dans les cahiers des charges, cloisonner les systèmes, avoir une bonne gestion des droits et accès, durcir la configuration des équipements (mots de passe pour accéder au BIOS, chiffrement des disques, supprimer les services inutiles…), définir des Plan de Continuité d’Activité (PCA) et Plan de Reprise d’Activité (PRA) avant qu’il soit trop tard…


Commentaires (6)

votre avatar
Docteur Maboul ressuscité :-D quelle illustration de Flock !
votre avatar
Je ne sais pas où va l'argent mais pas dans les hôpitaux (salaires des soignants, infrastructures vétustes, repas infâmes pour les patients....).
Alors pour sécuriser le SI....
votre avatar
T'as oublié de parler des « VIP » du personnel des hôpitaux ...

Ces personnages sont à l'origine de pas mal de déséquilibre dans la gestion des hôpitaux au sens large (financier, informatique, médical ...). Tant que personne n'aura les c...lles de les remettre à leur place et de re-prioriser les sujets (mission 1ere de l'hôpital, sécurité, ...) dans le bon ordre, il ne faut pas s'attendre à des miracles.
votre avatar
Tu parles des grands professeurs / chirurgiens qui font un max de consultations privées, avec les moyens humains et matériels des CHU, en versant une dîme misérable?
votre avatar
Oh tout de suite les gros mots ... mais t'as bon en fait.
Le pire dans l'histoire c'est la taille de l'égo
votre avatar
On paye le prix des DSI qui sont devenues des centrales d'achats où l'objectif est tjs d'acheter des produits pour se déresponsabiliser. Tellement plus simple de dire "c'est pas de ma faute c'est Microsoft". On paye aussi le "tout windows" qui fait clairement parti du problème.

Les conséquences bien réelles des cyberattaques sur le secteur de la santé

  • Le niveau de sécurité est … « variable »

  • 30 compromissions et chiffrements en 2022 et 2023

  • Des mois de travaux et des millions d’euros

  • Payer une rançon ne paye pas

  • Tiers payant : les données pourraient être revendues ou exploitées

  • Des recommandations en pagaille

Fermer