Questions et réponses d'experts : Comment le secteur de la santé peut-il se préparer à l'augmentation des cybermenaces ?
Ce Q&A a été initialement publié dans Santé mondiale. Entretien réalisé par Ella Thompson.
Les attaques de rançongiciels dans le secteur de la santé ont augmenté de 328 % au premier semestre 2022, selon le Journal HIPAA. Et le coût moyen d'une violation dans le secteur de la santé est de 10,1 millions de dollars, contre 4,35 millions de dollars en moyenne dans les autres secteurs, selon le Rapport IBM sur le coût d'une violation 2022.
Le secteur de la santé est l'une des principales cibles des cyberattaques. Comment les organisations peuvent-elles s'y préparer ?
Nous nous sommes entretenus avec Trevor Dearing, directeur marketing des solutions industrielles d'Illumio, pour discuter de la manière dont les organisations de santé peuvent être proactives face aux cybermenaces.
Rejoignez Illumio au salon HIMSS 2023 à Chicago du 17 au 21 avril sur le stand 2678. Inscrivez-vous dès aujourd'hui.
Pourquoi le secteur de la santé est-il en tête des cibles des cyberattaquants ?
Les soins de santé constituent une cible de choix pour les cyberattaques, car une attaque peut mettre en danger le bien-être, voire la vie, des patients.
Les cybercriminels cibleront toujours ceux qui offrent le plus de chances de récompense. Ils savent que les prestataires de soins de santé ne peuvent se permettre aucune interruption de service lorsque la sécurité des patients est en ligne et qu'ils sont plus susceptibles de payer et de le faire rapidement. C'est pourquoi le secteur est devenu l'une des principales victimes de attaques de ransomware — en particulier ces dernières années.
Mais les entreprises ne doivent pas être les seules à surveiller les attaques par rançongiciel. Les prestataires de soins de santé détiennent d'importants volumes de données personnelles sur les patients, qui sont une marchandise sur les marchés du dark web. Ces données alimentent des attaques, des chantages et des fraudes plus ciblés.
L'industrie est également devenue une cible plus attrayante grâce à l'essor des dispositifs médicaux connectés qui ont élargi la surface d'attaque. L'instabilité économique et les pressions sur les dépenses publiques signifient également que de nombreux prestataires de soins de santé ne disposent pas du budget nécessaire pour répondre aux stratégies cybernétiques plus robustes des autres secteurs.
Comment se déroulent exactement les attaques de rançongiciels ?
La plupart des attaques de rançongiciels suivent un schéma similaire. Les auteurs de rançongiciels obtiennent un accès initial à une organisation et se cachent sur les réseaux (jusqu'à des mois d'affilée) avant d'attaquer. Ils se déplaceront furtivement sur le réseau de l'entreprise et obtiendront des privilèges d'accès de niveau supérieur pour accéder à des fichiers importants et à des systèmes critiques avant de déployer leur ransomware, bloquant ainsi efficacement les fichiers et les applications. À moins que les organisations ne parviennent à stopper la propagation, toutes les activités seront rapidement interrompues.
Pour les professionnels de santé, le pire scénario pourrait être la déconnexion des dispositifs médicaux, tels que les capteurs permettant de surveiller les signes vitaux des patients et d'administrer automatiquement le traitement. Il pourrait également verrouiller les dossiers critiques des patients et les systèmes de gestion des rendez-vous, paralysant ainsi l'organisation.
Nous assistons également à de plus en plus d'attaques utilisant une tactique de « double extorsion » combinant cryptage des données et exfiltration. L'attaquant fera des copies des données et les chiffrera, puis menacera de divulguer ou de vendre des informations confidentielles même si la victime paie la rançon.
Comment les établissements de santé peuvent-ils se protéger des cybermenaces ?
Les organisations doivent cesser d'investir autant de ressources pour tenter de prévenir les attaques et investir plutôt dans la gestion de leur impact. Cela implique d'accepter que des attaques se produisent et d'en atténuer l'impact en limitant les brèches.
L'un des meilleurs modèles de sécurité pour améliorer la cyberrésilience est Zero Trust. Cette stratégie est basée sur le mantra « ne jamais faire confiance, toujours vérifier », ce qui signifie qu'aucun utilisateur n'est automatiquement autorisé à accéder à des fichiers et à des applications simplement parce qu'il possède les informations d'identification appropriées.
En règle générale, Zero Trust repose sur trois piliers : Zero Trust Network Access (ZTNA), Zero Trust Data Security (ZTDS) et Segmentation Zero Trust (ZTS). Cette dernière est essentielle pour contenir les brèches, divisant le réseau en plusieurs sections scellées, les principes Zero Trust régissant les mouvements entre les zones.
Des recherches menées auprès de Groupe de stratégie d'entreprise (ESG) a révélé que les organisations qui ont adopté des stratégies Zero Trust évitent en moyenne cinq cybercatastrophes par an et économisent en moyenne 20 millions de dollars en temps d'arrêt des applications. Et une émulation d'attaque menée par Évêque Fox a découvert qu'Illumio ZTS peut rendre les attaquants inefficaces en moins de 10 minutes, soit quatre fois plus rapidement que la détection et la réponse des terminaux (EDR) à elles seules.
Pourquoi le secteur de la santé devrait-il changer d'état d'esprit pour s'efforcer d'isoler les attaques plutôt que de les prévenir ?
Ces dernières années, nous avons assisté à une évolution considérable des motivations des attaques, passant de l'accent mis sur le vol de données à l'impact sur la disponibilité. Cela signifie que la cybersécurité n'est plus seulement une question de sécurité ; c'est un problème opérationnel qui a des impacts tels que des interruptions opérationnelles prolongées, des dommages financiers et de réputation, et pour les soins de santé, des pertes potentielles en vies humaines.
Les attaques visent désormais à provoquer un maximum de perturbations, les acteurs de la menace comptant pouvoir accéder à des systèmes et à des données critiques avant que les défenses ne les détectent. Le nombre d'attaques augmente également et les cybercriminels utilisent des tactiques de plus en plus sophistiquées pour atteindre leurs objectifs. Cela signifie que la prévention à elle seule n'est plus une stratégie viable.
Quel que soit le niveau de sécurité du réseau, les compromis sont inévitables. C'est ce que nous appelons le »supposer une violation« mentalité. Cela peut sembler être une attitude très défaitiste de la part d'un spécialiste de la sécurité ; toutefois, c'est cette mentalité qui empêchera une violation de se transformer en catastrophe grave. Si les organisations acceptent qu'un attaquant viole leurs défenses, elles peuvent mettre en place des mesures pour contenir la menace et en minimiser l'impact.
Parlez-nous des mesures que tous les établissements de santé, quels que soient leur taille et leur budget, peuvent prendre pour renforcer immédiatement leur dispositif de sécurité.
La première étape que les organisations devraient prendre est de cartographier les communications de tous les systèmes. Une fois qu'un attaquant a infiltré une organisation, il essaiera de se tourner vers les actifs les plus précieux. Il peut s'agir de données de patients ou de dispositifs médicaux. Les organisations doivent identifier quels systèmes peuvent communiquer et comment indiquer les restrictions à mettre en place.
Ensuite, les organisations doivent utiliser ces connaissances pour identifier et quantifier les risques auxquels sont confrontés tout actif ou toute application. Cela peut être basé sur la vulnérabilité de chaque système et sur l'exposition à laquelle il est exposé lors de la connexion à d'autres systèmes et appareils.
La dernière étape consiste à appliquer des contrôles basés sur le moindre privilège pour régir et restreindre l'accès entre les ressources. L'arrêt des communications non autorisées permet de contenir une attaque en un seul endroit et empêche les attaquants d'accéder à des actifs et à des services critiques. Cette approche s'applique également aux dispositifs médicaux, aux centres de données, au cloud et aux terminaux.
En suivant ces étapes, les infrastructures médicales seront plus tolérantes et les organisations pourront maintenir leurs services même en cas d'attaque, sans avoir à arrêter les services ou à déplacer les patients.
Inscrivez-vous dès aujourd'hui pour HIMSS 2023 et rencontrez Illumio sur notre stand 2678.
En savoir plus sur la façon dont Illumio ZTS peut vous aider à sécuriser votre établissement de santé.
Contactez-nous dès aujourd'hui pour une démonstration et une consultation gratuites.