Les établissements de santé sont des cibles de choix pour les acteurs malveillants en raison de la nature de leur activité : la nécessité de fournir des soins continus aux patients tout en protégeant leurs données. En fait, sur les 16 secteurs d'infrastructures critiques qui ont fait rapport au Centre de plaintes contre la criminalité sur Internet du FBI, le secteur de la santé et de la santé publique a enregistré le plus grand nombre de signalements d'attaques par ransomware en 2023, soit 249, selon le rapport Internet Crime Report 2023 de l'agence.
C'est pourquoi il est important pour toutes les organisations de soins de santé non seulement d'isoler les menaces, mais aussi de pouvoir se remettre des dommages qu'elles causent. De tels plans de réponse aux incidents peuvent aider les organisations à se remettre rapidement des violations et à reprendre leurs activités habituelles avec un impact minimal sur les patients. Voici quelques étapes clés pour réagir et se remettre d'une violation.
1. Contenir la brèche
Lorsque les équipes informatiques du secteur de la santé détectent une violation, la première chose à faire est d'isoler les systèmes concernés et de les mettre hors ligne afin qu'ils ne perpétuent pas l'attaque. Désactivez tous les comptes concernés et arrêtez les services exécutant du code qui pourrait être compromis. Pour les systèmes nécessaires à la fourniture de soins aux patients, tels que le dossier médical électronique, les organisations doivent basculer vers leur infrastructure de sauvegarde et remettre en ligne les systèmes concernés uniquement après les avoir restaurés, ainsi que tous les comptes et services, à leur état d'avant l'attaque.
2. Évaluer l’incident
L’analyse forensique est essentielle pour minimiser le risque de récidive de ces failles. Essayez de déterminer où la faille a commencé et quelles méthodes ont été utilisées pour accéder au réseau. Dans un récent communiqué de presse du ministère de la Justice relatif à l’inculpation de sept pirates informatiques, le ministère a noté que les pirates avaient envoyé des courriels de phishing qui ressemblaient à des messages provenant de sites d’actualités légitimes. Lorsque les utilisateurs cliquaient sur des liens, les pirates recevaient suffisamment d’informations pour obtenir l’accès aux réseaux ciblés.
Utilisez des services de vérification du BIOS basés sur le cloud pour comparer le BIOS de l'appareil d'un utilisateur à une version hors hôte afin de déterminer si l'appareil a été compromis.
3. Traiter les vulnérabilités
Une façon plus évidente de remédier aux vulnérabilités de l'infrastructure d'une entreprise consiste à s'assurer que tous les appareils sont équipés des dernières mises à jour logicielles et micrologicielles. Mais les équipes informatiques doivent également s'attaquer aux points d'entrée qui pourraient être négligés, tels que les imprimantes, les appareils médicaux connectés et autres appareils passifs. Déployez des programmes de surveillance capables d'identifier les comportements inhabituels sur les appareils et les services pour empêcher les attaques avant qu'elles ne pénètrent trop profondément dans les réseaux.
4. Créer un plan de réponse aux notifications
Il est également essentiel d’avertir rapidement l’ensemble de l’équipe informatique de toute activité inhabituelle. Configurez des alertes automatiques en cas d’activité inhabituelle détectée pour accélérer les délais de réponse, et associez ces systèmes à un plan bien établi qui répertorie les actions à entreprendre étape par étape, les systèmes à vérifier, les appareils à mettre hors ligne et les processus et priorités pour restaurer les systèmes affectés. Examinez tous les points d’entrée connus.
5. Mettre à jour les protocoles de sécurité pour l'avenir
Les équipes informatiques ont-elles retardé le déploiement des correctifs de sécurité parce qu'elles doivent d'abord tester les applications par rapport aux mises à jour ? Les utilisateurs doivent-ils être informés des éléments à surveiller dans un environnement où le phishing est devenu plus sophistiqué et plus difficile à détecter ? Un audit approfondi des protocoles de sécurité d'un établissement de santé peut permettre d'identifier les points à améliorer pour prévenir de futures attaques. Cet audit peut être réalisé en interne, mais il vaut la peine de faire appel à des experts en cybersécurité externes pour identifier les vulnérabilités qu'un audit interne pourrait manquer.
shapecharge/Getty Images