Les ransomwares affectent les soins de santé depuis des décennies, mais les organisations sont devenues de plus en plus vulnérables à mesure que les attaquants sont devenus effrontés et plus sophistiqués.
Il y a un impact financier et sur la réputation : un système de santé a dû régler avec 126 000 patients jusqu’à 3 000 $ chacun à la suite d’un incident survenu en 2020. Et il y a un impact opérationnel : deux hôpitaux du Connecticut ont dû détourner des ambulances et fermer plusieurs établissements de soins ambulatoires alors que les ordinateurs étaient en panne plus tôt en 2023.
La remédiation peut être coûteuse. Non seulement les établissements de santé doivent remettre en service leurs applications métier principales, mais ils doivent également récupérer les revenus perdus. Une analyse du groupe NCC évalue la perte globale potentielle d’une seule attaque de ransomware à 30 % du bénéfice d’exploitation annuel. Pour un hôpital – St. Margaret’s Health dans l’Illinois – l’impact financier d’une attaque de ransomware en 2021 a été suffisant pour forcer l’établissement à fermer définitivement.
«Le coût ne fait qu’augmenter», déclare Jon Nelson, directeur consultatif principal du département sécurité et confidentialité d’Info-Tech Research Group. « Le coût des rançons augmente et le nettoyage n’est pas aussi simple que d’obtenir une clé de déchiffrement. Une fois les systèmes remis en ligne, les problèmes de corruption et d’intégrité subsistent.
Les stratégies de prévention et d’atténuation les plus efficaces contre les ransomwares nécessitent une approche descendante qui inclut l’adhésion des dirigeants, la sensibilisation des utilisateurs finaux et des partenariats solides avec les fournisseurs de technologies. C’est un défi de taille, mais cela peut faire la différence entre une attaque grave et une attaque mineure.
Des disquettes à la cryptographie : l’essor des ransomwares dans le secteur de la santé
La première attaque de ransomware documentée au monde avait un lien direct avec les soins de santé, note Nelson. En 1989, Joseph Popp, un biologiste évolutionniste, a installé un cheval de Troie sur des disquettes de 5,25 pouces et les a distribuées aux chercheurs sur le SIDA. Lorsque les utilisateurs démarraient leur ordinateur, le virus chiffrait les répertoires et les fichiers. Pour les récupérer, les utilisateurs devaient virer 189 $ à une boîte postale basée au Panama.
À mesure que les ransomwares ont évolué au cours des trois décennies suivantes, les attaquants ont tenté d’extorquer les utilisateurs d’abord en les obligeant à installer de faux logiciels antivirus, puis en verrouillant les utilisateurs hors de leur ordinateur et enfin en cryptant les fichiers.
Les attaques modernes de ransomware sont apparues suite à l’introduction des cartes de crédit à puce et à code PIN, note Nelson. Les améliorations de sécurité associées aux numéros d’identification personnels et aux algorithmes cryptographiques ont nui aux cybercriminels, car les cartes clonées étaient largement inutiles sans code PIN.
« Les criminels avaient besoin de nouveaux moyens de cibler les gens et de gagner de l’argent », dit-il. « C’est là que la crypto-monnaie a pris tout son sens. Cela a donné aux criminels un moyen d’effectuer des paiements anonymes et en temps réel.
Les ransomwares d’aujourd’hui utilisent généralement des logiciels malveillants pour accéder aux réseaux, rechercher des données précieuses, obtenir des privilèges administratifs, chiffrer les données précieuses et exiger une rançon, selon Trend Micro. Les attaquants peuvent également menacer de divulguer des données, lancer une attaque de déni de service distribué ou harceler les patients d’une victime par courrier électronique ou sur les réseaux sociaux.
Aujourd’hui, la plupart des attaques sont perpétrées par des cartels opérant dans des pays où les gouvernements sont prêts à fermer les yeux, explique Nelson. Les attaquants n’ont pas non plus peur de perturber la vie quotidienne. Comme le note l’American Hospital Association, cela contraste fortement avec les débuts des ransomwares, lorsque les pirates informatiques étaient généralement des amateurs cherchant à causer des dommages financiers mais pas physiques. (En fait, Popp a affirmé que la rançon qu’il avait collectée serait utilisée pour financer la recherche sur le sida.)
À quoi ressemble une attaque de ransomware dans un hôpital
Une attaque de ransomware réussie comporte plusieurs étapes.
- Premièrement, les attaquants doivent intervenir. Nelson estime que la moitié des attaques de ransomware proviennent d’une tentative de phishing réussie ; les autres sont associés à des vulnérabilités allant des appareils non corrigés aux informations d’identification volées du protocole de bureau à distance.
- Ensuite, ils doivent se propager à travers le réseau d’une organisation. Selon CrowdStrike, cela se produit par un mouvement latéral (qui imite le comportement d’un utilisateur final interagissant avec les systèmes du réseau) et un mouvement vertical (qui donne accès à des comptes dotés de privilèges plus élevés).
- À partir de là, les criminels volent les données qu’ils souhaitent, les chiffrent, exigent une rançon et intensifient leur harcèlement si la victime ne paie pas. Selon Nelson, les criminels ciblent également de plus en plus les sauvegardes de données, car les établissements de santé ne peuvent pas reprendre leurs activités quotidiennes sans accès à leurs sauvegardes.
Une fois à l’intérieur d’une organisation, le « temps d’attente » entre le début d’une attaque et le moment où elle est détectée est d’environ cinq jours. Un rapport Sophos a révélé que c’est plus court qu’avant ; il y a à peine un an, le temps de séjour médian atteignait 10 jours. Cependant, les attaquants étant capables de chiffrer 70 gigaoctets de données par heure, « ils peuvent causer beaucoup de dégâts en peu de temps », a déclaré Nelson.
4 raisons pour lesquelles les soins de santé sont une cible pour les ransomwares
Les soins de santé sont particulièrement vulnérables aux ransomwares, car l’incapacité d’accéder à des applications critiques telles que les systèmes de dossiers médicaux électroniques entraîne de mauvais résultats pour les patients. Une enquête du Ponemon Institute et du Censinet a révélé que 70 % des organisations touchées par des attaques constatent une durée de séjour et des temps d’attente plus longs pour les procédures de routine, près des deux tiers doivent détourner les patients vers d’autres établissements, et plus de 20 % connaissent une augmentation du nombre de patients. taux de mortalité des patients.
Il n’est donc pas surprenant que les soins de santé connaissent une recrudescence des attaques de ransomwares. Barracuda Networks rapporte que les attaques réussies ont plus que doublé entre 2022 et 2023 et plus que quadruplé depuis 2021. Au total, Sophos a indiqué que 60 % des établissements de santé ont été touchés par une attaque au cours de l’année écoulée, et 84 % d’entre eux ont connu une attaque. perte de revenus qui en résulte.
Selon Nelson, quatre éléments rendent les soins de santé particulièrement attrayants pour les attaquants.
- Il existe un trésor de données : Les informations personnelles identifiables suffisent à un criminel pour ouvrir une fausse ligne de crédit, les informations de santé protégées permettent une facturation frauduleuse et les informations financières facilitent le vol de carte de crédit.
- Les ressources sont limitées : Selon l’enquête sur la cybersécurité 2022 de la Health Information and Management Systems Society, plus de 60 % des établissements de santé ne disposent pas de suffisamment de personnel pour assurer une cybersécurité robuste, et un peu plus de 50 % manquent de budget. Cela contraste fortement avec des secteurs tels que la finance et l’industrie manufacturière, où un « chèque en blanc » du conseil d’administration pour lutter contre les menaces à la cybersécurité n’est pas rare, dit Nelson.
- C’est un objectif important, mais pas trop : Les criminels ont tendance à cibler les victimes qui fournissent des services essentiels et sont prêtes à payer une rançon pour rétablir les services, mais ils ne veulent pas attirer l’attention du gouvernement américain, explique Nelson. (L’attaque du Colonial Pipeline en 2021, qui a fait la une des journaux internationaux, en est un bon exemple.) Les soins de santé font ici l’affaire : un hôpital fera ce qu’il faut pour maintenir les soins aux patients, mais une attaque contre un seul hôpital n’est pas assez grave pour le gouvernement fédéral. les enquêteurs doivent intervenir immédiatement.
- Les patients donnent aux attaquants un effet de levier : Si des attaquants accèdent aux adresses e-mail des patients et qu’une organisation refuse de payer la rançon, les attaquants peuvent utiliser les patients pour faire pression. « Que se passe-t-il s’ils envoient un e-mail en masse et disent : « Nous avons vos données et votre hôpital s’en fiche ? » », demande Nelson.
6 mesures que les établissements de santé peuvent prendre contre les ransomwares
- Atténuer l’impact des ransomwares nécessite une approche globale. Les utilisateurs finaux de l’organisation doivent être formés aux éléments à surveiller, qu’il s’agisse de tentatives de phishing dans les e-mails ou de correctifs de sécurité à installer.
- Des mesures de sécurité plus strictes au point d’accès peuvent également s’avérer utiles. Le rapport HIMSS sur la cybersécurité 2022 note qu’il y a eu des « progrès significatifs » parmi les acteurs de la santé dans l’adoption de l’authentification multifactorielle pour accéder aux ressources de l’entreprise ; en 2016, seuls 39 % utilisaient la MFA. Cependant, moins de 10 % de ceux qui ont mis en œuvre la technologie de sécurité utilisent l’authentification MFA sans mot de passe, que la Cybersecurity and Infrastructure Security Agency recommande comme « étalon-or » en raison de sa résistance aux attaques de mots de passe par force brute ainsi qu’aux tentatives de phishing.
- Plus largement, les établissements de santé bénéficient de l’adoption d’une approche de sécurité zéro confiance qui nécessite une authentification et une autorisation continues pour accorder l’accès. Cela présente un double avantage : cela établit une culture de sécurité basée sur des technologies telles que la MFA et l’authentification unique, et cela offre une plus grande visibilité sur quels rôles nécessitent un accès à quels systèmes. Cela permet de modéliser les modèles d’utilisation typique et de mieux identifier les cas d’activité anormale.
- Une relation solide avec les partenaires de sécurité est cruciale. Les fournisseurs fournissant des services gérés de détection et de réponse, par exemple, détecteront, analyseront, enquêteront et répondront aux menaces. Il s’agit d’un atout dans un contexte de pénurie de personnel en matière de cybersécurité dans tous les secteurs, et cela peut aider les organismes de santé à concentrer davantage leurs efforts de recrutement sur le personnel en contact avec les patients.
- Il ne s’agit pas uniquement des fournisseurs de services de sécurité, explique Nelson. Les systèmes de santé devraient travailler avec les partenaires du réseau pour garantir une segmentation appropriée, car cela contribue à limiter les mouvements latéraux d’un segment du réseau à l’autre. De plus, les partenaires de stockage doivent fournir des sauvegardes immuables, qui ne peuvent pas être chiffrées ou modifiées par des attaquants. « Il s’agit de faire preuve de diligence raisonnable et de poser les bonnes questions à vos partenaires », dit-il.
- Enfin, lorsqu’une attaque de ransomware se produit, la cyber-assurance est utile si un système de santé se retrouve dans l’obligation de négocier avec un attaquant, explique Nelson. La demande initiale de rançon peut représenter jusqu’à 20 % du chiffre d’affaires annuel d’une organisation, mais un assureur rompu à la négociation peut faire baisser ce chiffre.
