Tribune Jean-Pierre Blum

Multiplication des attaques contre le secteur santé, pourquoi tant de haine ?

Publié le 15/12/2022

Les criminels qui utilisent des ransomwares touchent de plus en plus le secteur de la santé. Le secteur est particulièrement vulnérable en raison de la permanence de l’activité, de la dispersion de l'empreinte informatique et du stockage massif des documents. Cela aiguise certains appétits sans scrupules.

Les criminels à l'origine des ransomwares continuent de demander des rançons aux victimes du secteur de la santé. Mais la plupart, sinon la totalité, des attaquants qui utilisent des ransomwares ne cherchent pas à amasser des victimes dans le secteur de la santé, en soi. Selon les experts, les attaques de type « shotgun » restent courantes. Ici, les attaquants tentent de frapper plusieurs organisations à la fois, souvent par le biais d'e-mails de phishing chargés de malwares ou d'identifiants d'accès à distance volés, puis voient ce qu'ils ont attrapé dans leur filet et ce qu'ils pourraient vouloir poursuivre. Selon les experts, cette stratégie vise généralement les organisations les moins bien préparées, et notamment les acteurs du secteur de la santé.

Exponentiel

Une enquête menée en début d'année par l'agence de recherche Vanson-Bourne auprès de 318 organismes de santé répartis dans 31 pays a révélé que 66 % d'entre eux ont déclaré avoir été touchés par un ransomware. Depuis 2018, il y a eu plusieurs milliers d’attaques de ransomwares publiquement confirmées contre des organisations de soins de santé dans le monde, selon le site d’analyse Comparitech. Son nouveau rapport révèle que les attaquants ont frappé près de 13 000 établissements distincts, affectant près de 49 millions de dossiers de patients. Le coût total estimé de ces attaques dépasse 92 milliards de dollars simplement en temps d'arrêt. Les paiements de ransomware aux pirates sont estimés à plusieurs dizaines de millions de dollars sachant que tout n’est pas déclaré. Pour Denise Anderson, présidente et directrice générale du Health Information Sharing and Analysis Center. « En ce qui concerne les soins de santé, certaines des attaques de ransomware qui se produisent s'éloignent des grandes organisations plus protégées et se dirigent vers les plus petites, moins protégées, comme les cliniques et ce type d'organisations, et les très petits hôpitaux ruraux, qui n'ont pas l'infrastructure en place, les compétences et les moyens pour aider à prévenir ce type d'attaques. »

Pourquoi le secteur de la santé est-il si vulnérable ?

Même les grandes entités de santé sont particulièrement vulnérables aux attaques de ransomwares. Les hôpitaux ne peuvent pas simplement « fermer boutique » pendant quelques semaines, le temps que les systèmes soient restaurés. Au contraire, ils ont l'impératif de rester opérationnels et de restaurer les systèmes aussi rapidement que possible, tout en continuant à soigner les patients. D’où le célèbre aphorisme, « pendant les travaux le commerce continue ».

Selon la pyramide CIA, CID en français, souvent utilisée pour guider les programmes de sécurité de l'information - comprenant la confidentialité, l'intégrité et la disponibilité – « les organisations attaquées par des groupes de ransomware sont souvent ciblées sur le C - confidentialité - et le D - disponibilité - de la pyramide CID », explique John Fokker, responsable de la veille sur les menaces pour l'Advanced Research Center de Trellix. « Malheureusement, les organisations de soins de santé peuvent être touchées à la fois sur leur disponibilité par une attaque de chiffrement et sur leur confidentialité par le vol de données et l'extorsion de fuite, en raison de leur conformité à la loi HIPAA (Health Insurance Portability and Accountability Act) », ajoute-t-il.

De nombreux hôpitaux, petits et grands, continuent d'être victimes d'attaques par ransomware, comme le centre hospitalier CHSF de Corbeil-Essonnes, en région parisienne. En août, les systèmes informatiques, d'imagerie médicale et autres de l'hôpital ont tous été perturbés – et le demeurent -, et les attaquants ont exigé une rançon en cryptomonnaies de 20 millions de dollars, que l'hôpital a refusé de payer officiellement. Depuis lors, le CH de Versailles a également été attaqué selon la même procédure, à partir de la même plateforme, sans doute par la même équipe de gangsters avec Lockbit 3.0. Dans les deux cas, la sécurité n’a jamais été prise réellement au sérieux ni techniquement ni par les équipes dirigeantes qui protesteront leurs grands dieux de leur étonnement et de leur compassion pour les équipes techniques. Pas très grave, l’ARS paiera les dégâts comme à Dax (2,4 millions dont 1,4 million pour Orange Cyber Défense) (*) Source RETEX CH Dax publié sur le site de l’ANAP) ; alors que ces défauts de sécurité sont opposables à la Loi européenne du 25 mai 2018 dite RGPD. Mais la Cnil est brave et parfois peu regardante.

Complexité n’est pas excuse de priorité

Pour les défenseurs, les défis sont nombreux. Pour commencer, l'empreinte informatique d'un organisme de santé tend à être très dispersée, souvent sur plusieurs sites ainsi que sur différents types de systèmes, y compris des kiosques. « L'architecture réelle d'un établissement de santé est généralement plus complexe que celle d'une entreprise classique », explique Bill Siegel, spécialisé dans la réponse aux incidents liés aux ransomwares. Si une entreprise est touchée par un ransomware et que 100 ordinateurs portables sont crypto-bloqués, le service informatique peut souvent simplement remplacer les ordinateurs portables. Dans un hôpital, ce n'est pas le cas.

Une autre complication : les systèmes de dossiers médicaux électroniques sur lesquels les hôpitaux s'appuient sont par nature volumineux et complexes à gérer, tant en ce qui concerne la base de données et la taille des fichiers extrêmement volumineux (radiographies, les IRM / Scanners / Echographies et autres. « Étant donné que tous les médecins - espèce souvent indisciplinée -, et tous les établissements doivent avoir accès à un très grand magasin de données, il est très difficile de le sauvegarder et de le déplacer, ce qui le rend très vulnérable aux attaques. »

La topologie du réseau peut également être un facteur. « Les systèmes informatiques et de technologie opérationnelle du secteur de la santé sont souvent mixtes (réseau plat) pour des raisons de confort et de facilité d'utilisation, et non strictement segmentés comme dans le monde industriel », explique M. Fokker de Trellix. « Cela signifie que l'impact d'une attaque par ransomware sera énorme car les systèmes critiques, incluant les systèmes d’information, l’IOT, le biomédical, l’imagerie, les automates, la gestion technique du bâtiment et la production électrique, sont accessibles via le réseau informatique de l'entreprise, ce qui fait qu'il est un jeu d'enfant pour un acteur de la menace de paralyser l'organisation ».

Pandémie et techniques

Les ransomwares sont un problème mondial, frappant plus de 13.000 entités de santé depuis 2018. Ce sont les principaux vecteurs d'attaque aujourd’hui, les plus rentables et les moins dangereux pour les hackers. Les attaquants brandissant des ransomwares mélangent souvent une variété de tactiques pour frapper les cibles. Outre les courriels d'hameçonnage, M. Fokker indique que d'autres tactiques courantes comprennent le « balayage actif » des vulnérabilités connues des logiciels, l'accès aux justificatifs d'identité, c'est-à-dire le vol de noms d'utilisateur et de mots de passe - par exemple, via des attaques de type « man-in-the-middle » ou « brute-forcing » - ainsi que le « piratage de logiciels malveillants de base et/ou l'achat d'accès via des courtiers sur le Darknet ». Cet accès est souvent obtenu à l'aide de protocoles de bureau à distance ou d'identifiants VPN volés.

Déprimant

Peter Mackenzie, directeur de la réponse aux incidents chez Sophos, affirme que la plupart des attaques par ransomware sont tout sauf sophistiquées. « Il est déprimant de constater à quel point certaines de ces attaques sont amateurs, mais elles fonctionnent », dit-il, ajoutant que « les attaquants regardent parfois des vidéos YouTube pour apprendre à utiliser des outils hautement automatisés ». Ces attaquants frappent souvent un grand nombre d'organisations et voient ensuite qui a été victime et qui ils veulent poursuivre. Les pirates vont même à offrir gratuitement – trop sympa - un descripteur à leurs victimes. Après que le Health Service Executive d'Irlande a été touché par Conti (groupe de hacking russe) au printemps 2021, les soins aux patients dans le pays ont été interrompus pendant des mois durant la période de rétablissement, même si Conti avait « donné » un décrypteur à HSE.

Alors que l'extorsion des organismes de santé était autrefois souvent évitée, les experts constatent une augmentation du nombre de groupes qui n’excluent plus les organismes de santé qu'ils ont pris dans leur filet - probablement parce qu'ils essaient de compenser les récents manques à gagner. « Pendant la pandémie COVID-19, nous avons observé que plusieurs groupes évitaient d'attaquer le secteur de la santé », explique M. Fokker. « Cependant, avec le climat géopolitique actuel, les organisations de soins de santé occidentales sont à nouveau la proie des acteurs de la menace ». Sans doute dans un but de cyberterrorisme politique et mafieux.

Médaille d’argent, c’est le cas de le dire

Sur la base des milliers d'incidents auxquels elle a apporté son aide entre juillet et septembre, Coveware indique que 17 % d'entre eux concernaient le secteur de la santé, juste derrière les services professionnels (18 %), ce qui en fait le deuxième secteur le plus touché par les ransomwares. Les attaques visant le secteur de la santé ont également augmenté par rapport aux trimestres précédents, ce que l'entreprise attribue en partie à une hausse de l'activité liée au groupe de ransomware Hive, qui n'hésite pas à frapper le secteur de la santé. D'autres groupes de ransomware n'hésitent pas non plus à s'attaquer aux soins de santé. Selon des alertes de sécurité conjointes publiées par le FBI et l'Agence de cybersécurité et de sécurité des infrastructures, on continue de compter de toujours plus de victimes dans le secteur de la santé.

Money, money

Une fois que les organismes de santé ont été victimes de criminels utilisant des ransomwares, les experts affirment que ces criminels monétisent ces attaques en utilisant deux stratégies interdépendantes : le chiffrement des données et l'extorsion des victimes contre la promesse d'un outil de décryptage, ainsi que le vol de données. Avec les données volées, les attaquants peuvent essayer d'obtenir le paiement d'une rançon en promettant de les restituer en toute sécurité - et de supprimer toutes les copies supplémentaires. Mais, selon les experts, quoi qu'ils promettent, attendez-vous à ce qu'ils vendent les données à des forums clandestins de cybercriminalité. « Les données des patients sont toujours très précieuses », déclare Allan Liska, analyste principal du renseignement chez Recorded Future. « Elles vont être très vendables sur les marchés souterrains, et le gouvernement chinois en particulier adore acheter des dossiers médicaux. » Du côté américain, un milliardaire de l’informatique a racheté les données de santé complètes de plusieurs pays du golfe pour plusieurs centaines millions de dollars. Autre méthode, l’usurpation d’identité de patients, l’achat de matériels à prix modéré – juste en dessous de la somme qui entraînerait une action en justice – et la revente sur des sites de reventes type The Good Corner.

Mesurer

Une façon de mesurer le nombre d'organisations victimes d'attaques consiste à compter les personnes qui se présentent sur un site de fuite de données. Mais cette mesure est imprécise. Les gangsters ne sont même pas fiables, ils vont jusqu’à revendiquer de fausses victimes pour asseoir leur réputation. Le fait de compter le nombre de victimes qui apparaissent sur les sites de fuite de données fournit au moins un point de repère. Selon Mme Liska, en 2021, les sites de fuite de données ont répertorié trois fois plus de victimes dans le secteur de la santé par rapport à 2020. Mais là encore, ces chiffres sont à prendre avec des pincettes. Par exemple, en juillet, le FBI et la CISA ont publié un rapport avertissant que depuis au moins mai 2021, des attaquants parrainés par l'État nord-coréen utilisaient le ransomware « Maui » pour cibler les secteurs des soins de santé et de la santé publique. Le rapport n'identifiait pas les victimes et ne quantifiait pas le nombre d'organisations victimes. « Il est donc probable qu'il se passe beaucoup plus de choses avec les soins de santé que nous ne le savons pas, peut-être même plus que les années précédentes, du moins aux États-Unis », déclare Liska.

Peut-être est-il temps de penser la sécurité de façon sérieuse, systémique et pérenne. Gouvernance, Ô gouvernance.