Les établissements médicaux sont une cible de choix pour les pirates. Voici pourquoi et ce que vous pouvez faire pour aider à protéger vos données personnelles.

Les établissements de santé constituent de bonnes cibles pour les pirates informatiques pour plusieurs raisons, dont la principale est la mine d'informations détaillées sur les patients qu'ils stockent. Pour les cybercriminels, réussir à exfiltrer les données des patients équivaut à frapper un pot d'or. Pour les établissements et les patients touchés par les piratages, l'expérience est un cauchemar.

Vous n'oublierez pas rapidement la mauvaise expérience, mais vous pouvez réduire votre exposition ou même prévenir complètement les attaques.

Le paysage des cyberattaques contre les soins de santé

Les cyberattaques contre les établissements de santé ne sont pas nouvelles. En 2017, le rançongiciel WannaCry a presque coupé le tapis sous le National Health Service du Royaume-Uni. La cyberattaque a fait des vagues, mais le NHS n'était pas la cible principale des acteurs de la menace. Les cybercriminels ont cependant semblé apprendre que les établissements de santé sont des fruits à portée de main. En 2021, le

instagram viewer
Bureau des affaires publiques a rapporté qu'un groupe de pirates avait lancé une cyberattaque coordonnée contre plus de 1 500 hôpitaux, écoles et sociétés financières.

Les rançongiciels et l'hameçonnage sont les méthodes couramment utilisées par les pirates dans ces attaques: l'hameçonnage pour obtenir un accès privilégié aux serveurs; et ransomware pour verrouiller les installations et les presser pour de l'argent.

Par rapport aux entreprises technologiques qui gèrent également des données précieuses sur les clients, les établissements de santé sont des cibles faciles, principalement parce que les pirates ont plusieurs points d'entrée. De plus, comme les conséquences de leurs attaques perturbent des vies, les pirates s'attendent à ce que la direction cède rapidement.

Comment se produisent la plupart des cyberattaques sur les soins de santé

Les e-mails de phishing envoyés au personnel de santé constituent le principal point d'entrée des pirates. Bien que les pirates préfèrent cibler le personnel avec un accès de niveau administrateur, à peu près n'importe quel membre du personnel fera l'affaire. Le premier objectif est de compromettre l'appareil de la personne en l'incitant à télécharger des logiciels malveillants joints à l'e-mail. L'astuce de phishing peut également consister à les amener à cliquer sur un mauvais lien et à saisir leurs identifiants de connexion sur un faux tableau de bord.

Maintenant que le logiciel malveillant se trouve sur l'appareil compromis du personnel, le prochain objectif est de le transférer sur le réseau de l'établissement. Cela se produit généralement lorsque l'appareil compromis se connecte à des appareils non sécurisés ou mal sécurisés sur le réseau. La connexion peut se faire via WLAN, Bluetooth, File Transfer Protocol ou même en branchant une clé USB.

Une fois que le logiciel malveillant est dans le réseau de l'installation, il exécute sa charge utile et établit un système de commande et de contrôle avec l'attaquant. Avec cette porte dérobée ouverte, les pirates peuvent se déplacer latéralement et s'établir, compromettre davantage de serveurs et créer d'autres portes dérobées dans le réseau pour de futures attaques.

Pourquoi les pirates ciblent les établissements de santé

Cela se résume à l'argent et à l'identité. Les pirates ne sont pas intéressés à savoir qui s'est fait extraire une dent ou à quoi ressemble une radiographie. L’objectif est d’obtenir les informations personnelles et les dossiers vitaux des patients. Cela inclut le nom complet, l'historique des adresses, les détails de la carte, le numéro de sécurité sociale, les données biométriques, le certificat de naissance, le certificat de décès, etc.

Avec ces informations, il est possible de voler l'identité d'une personne et de l'utiliser pour contracter des emprunts, ouvrir des comptes bancaires ou même se faire passer pour quelqu'un lors d'une correspondance avec des prestataires de services. Les cybercriminels peuvent également utiliser des registres d'état civil tels que des certificats de décès pour commettre une fraude aux prestations publiques. Pour les pirates qui ne sont pas intéressés par l'utilisation de données volées, il existe une demande sur le marché noir (ou bien dark web).

Mais monétiser les données volées des patients n'est pas toujours une promenade de santé. Ainsi, les pirates préfèrent souvent contraindre la direction de l'hôpital à payer une rançon. Ils incitent les établissements à payer en cryptant les fichiers et en excluant leur personnel des appareils dont ils dépendent fortement pour accéder aux informations sur les patients et prodiguer des soins.

À ces moments-là, les cadres de la santé sont pris dans le ressac. Ils doivent choisir entre payer la rançon et éventuellement se voir infliger une amende par le gouvernement (selon le Trésor américain) ou face à des poursuites judiciaires de la part de patients dont les données ont été divulguées. Il n'est pas rare que la direction capitule et choisisse l'option qui protège son image de marque et coûte moins cher. C'est souvent un manque d'argent qui signifie que les établissements de santé ne mettent pas en place les mesures de sécurité appropriées en premier lieu...

Comment vous pouvez protéger les données de santé contre les pirates

Les hôpitaux sont dans le mille des cyberattaques contre les soins de santé, mais la cible s'étendra probablement aux entreprises technologiques proposant des produits qui collectent des données sur la santé, comme les montres connectées. Voici ce que vous, un administrateur d'établissement de santé, un professionnel de la santé ou une personne qui utilise des services de santé, pouvez faire pour réduire vos risques.

Mettre à niveau l'ancien matériel et corriger les logiciels obsolètes

De nombreux établissements de santé utilisent encore des ordinateurs exécutant des versions héritées des systèmes d'exploitation Windows tels que Windows 7 et Windows XP. La prise en charge des systèmes d'exploitation hérités a pris fin, ce qui signifie que les pirates peuvent facilement exploiter les vulnérabilités existantes. Mais même les nouveaux modèles d'ordinateurs exécutant la dernière version du système d'exploitation Windows ne sont pas invincibles. Cependant, ils sont meilleurs car ils bénéficient d'un support pour les développeurs. Vous pouvez vous attendre à recevoir des mises à jour de sécurité qui corrigent les failles, souvent avant que les pirates ne puissent les exploiter.

De plus, de nombreuses installations dépendent de sociétés tierces qui fournissent des équipements et des logiciels de niche. L'utilisation d'autant de fournisseurs augmente les points d'entrée pour les pirates, car tout est connecté. Lorsque vous comptez sur des produits ou services de niche, il est préférable de fréquenter des entreprises ayant l'habitude d'améliorer leurs marchandises.

Dans un secteur où les responsables du budget accordent la priorité aux consommables et à la masse salariale, il peut être difficile d'allouer des fonds au remplacement du matériel ancien, bien que fonctionnel. Néanmoins, les pertes potentielles dues aux cyberattaques en font une dépense nécessaire.

Contractez une équipe bleue ou rouge

Le service informatique des établissements de santé est principalement responsable de la maintenance des logiciels cliniques et du dépannage du matériel défaillant. Ces départements fonctionnent généralement avec peu de personnel, avec peu de membres du personnel qui ont les compétences ou les connaissances nécessaires pour prévenir les cyberattaques. Dans de tels cas, envisagez d'embaucher une équipe bleue, rouge ou violette pour évaluer la posture de cybersécurité de votre organisation.

Les analystes en cybersécurité en valent la peine. Une équipe peut recommander ou mettre en œuvre des protocoles de cryptage qui rendent vos fichiers inutiles aux pirates même s'ils pénètrent votre réseau. De plus, ils peuvent mettre en place une technologie de tromperie pour faire gagner du temps à votre service informatique pour gérer les cyberattaques avant qu'elles ne paralysent vos systèmes.

Suivez les meilleures pratiques de cybersécurité pour protéger les données

Nous recommandons pratiques de sécurité des terminaux, en particulier l'accès au réseau zéro confiance et la régulation de l'accès au port USB. En attendant, si vous devez utiliser un appareil, tel qu'un téléphone, qui se connecte souvent au réseau de l'établissement, envisagez d'en avoir un uniquement dédié au travail. Évitez d'intégrer profondément cet appareil dans votre réseau domestique car il pourrait transmettre des logiciels malveillants du travail à votre domicile.

Cela dit, si vous utilisez des applications mobiles, nous vous recommandons de partager le moins de données possible. Une façon de limiter la quantité de données qu'un appareil collecte consiste à en utiliser un qui stocke vos données localement au lieu d'un qui les télécharge sur le cloud d'une entreprise. Si vous utilisez des appareils qui aident votre médecin à surveiller votre santé à distance, demandez-en un avec chiffrement avancé de bout en bout pour la sauvegarde des données.

Quel avenir pour la sécurité des soins de santé?

Les professionnels de la santé comptent beaucoup sur les équipements numériques pour dispenser des soins de qualité. Les pannes causées par les cyberattaques peuvent rapidement se transformer en chaos, comme la matière heurtant un oscillateur. L'effet des attaques s'aggravera à l'avenir à mesure que la génération de professionnels familiarisés avec le stylo, le papier et l'équipement analogique prendra sa retraite. Cependant, il est possible de réduire votre risque en renforçant votre cybersécurité.