Les petites organisations de santé, comme les hôpitaux ruraux et communautaires, sont considérées comme des cibles faciles pour les acteurs malveillants en raison de leur manque de ressources en matière de cybersécurité. Cependant, une attaque de ransomware réussie peut avoir un impact sur les soins aux patients, coûter des millions à l'organisation et, dans le pire des cas, entraîner sa fermeture. Cela signifie que les organisations de santé ne peuvent pas se permettre d'être des cibles faciles.
Même si le piratage informatique est parfois inévitable, les établissements de santé doivent adopter une approche proactive en engageant des pirates informatiques éthiques pour trouver les failles de leurs réseaux avant que des acteurs malveillants ne puissent les exploiter. Également connus sous le nom de tests de pénétration, ces exercices peuvent contribuer à renforcer la sécurité et la cyber-résilience des organisations.
Ce que recherche un bon hacker
Vous ne pouvez pas défendre ce que vous ne connaissez pas. Les tests d'intrusion peuvent fournir une mine d'informations qui pourraient parfois être négligées par les équipes informatiques du secteur de la santé, embourbées dans les détails du travail quotidien. Même si un réseau hospitalier solide peut disposer de plusieurs niveaux de protection, une ou plusieurs de ces couches peuvent tomber en panne à tout moment.
De plus, les tests d’intrusion ne doivent pas être des événements ponctuels. Les organisations de santé cyber-résilientes bénéficient de tests d’intrusion annuels car la technologie évolue constamment et les fournisseurs de solutions publient constamment des correctifs de sécurité. Mon téléphone portable a connu trois mises à jour au cours des trois derniers mois seulement ; imaginez ce qui pourrait arriver à votre réseau. Le fait est qu’avec des milliers de correctifs distribués chaque année, les réseaux de santé pourraient avoir des vulnérabilités qui passent inaperçues.
Évaluations de vulnérabilité et tests de pénétration
Les organisations de santé peuvent collaborer avec un partenaire tel que CDW de différentes manières pour évaluer leurs réseaux. Grâce à une analyse des vulnérabilités, nous pouvons utiliser nos connaissances du secteur pour discuter des vulnérabilités courantes auxquelles les systèmes de santé sont confrontés et suggérer des mesures correctives.
Lors des tests de pénétration, nous enverrons un ingénieur pour tester les défenses de votre réseau. Je recommande toujours aux organisations de réaliser deux types de tests de pénétration ensemble : interne et externe.
Malheureusement, les personnes constituent souvent le maillon faible de la cybersécurité des soins de santé. Les utilisateurs finaux peuvent cliquer sans le savoir sur un lien de phishing ou un employé mécontent peut télécharger un logiciel malveillant. Lors d'un test d'intrusion interne, les ingénieurs tenteront d'exploiter ces vulnérabilités depuis l'intérieur de votre réseau. Lors d'un test d'intrusion externe, nous tenterons d'y pénétrer depuis l'extérieur.
Comment les hackers s'introduisent dans les réseaux de santé
Un bon hacker recherchera les correctifs manquants, les erreurs de configuration, les faiblesses dans le déploiement d'un outil ou les failles dans votre pare-feu. Il recherchera également les appareils connectés vulnérables qui pourraient lui donner accès à d'autres systèmes de grande valeur sur le même réseau.
De plus, ils rechercheront les identifiants d'administrateur sur le Web et pourront même recourir à l'ingénierie sociale, en essayant d'obtenir des informations précieuses auprès d'une personne de l'organisation disposant d'un accès administrateur. Une fois que les pirates pénètrent dans votre réseau, ils en ont essentiellement les clés et peuvent se déplacer latéralement à l'intérieur pour faire des ravages.
Après un test d'intrusion, nos ingénieurs fourniront aux organismes de santé des recommandations détaillées pour chaque escalade ou pivot afin qu'ils puissent immédiatement remédier à toute vulnérabilité.
Le manque de budget et de personnel informatique interne rend les tests de pénétration essentiels
L’une des principales raisons pour lesquelles les organisations de santé, en particulier les systèmes de santé ruraux ou communautaires, ne procèdent pas à des tests d’intrusion est le budget. Pourtant, il s’agit d’un de ces investissements qui pourraient vous faire économiser des milliers, voire des millions de dollars à long terme. Cela pourrait même éviter la fermeture d’un hôpital. Même si une organisation de santé ne paie jamais de rançon, le processus de récupération informatique peut être coûteux et perturber souvent les soins aux patients. Même les organisations de santé bien financées et dotées des outils de sécurité les plus récents pourraient être en danger.
Un autre défi auquel sont confrontées les organisations de santé est le manque de personnel de sécurité informatique. Le travail à distance ouvrant l’ensemble du pays aux travailleurs informatiques qualifiés, de nombreuses organisations de santé disposant de budgets plus modestes et de ressources réduites ont du mal à attirer du personnel de sécurité talentueux.
Les petites organisations de santé n'ont généralement pas assez de personnel informatique, et encore moins un budget suffisant pour recruter des spécialistes de la sécurité informatique. Moins une organisation compte de personnel de sécurité, plus il est essentiel d'ajouter des tests d'intrusion comme poste budgétaire annuel. Ces tests de routine peuvent faire la différence entre être une cible facile pour un acteur malveillant et une cible trop difficile à pirater.