Protection des établissements de santé contre les cyberattaques

Au cours de l’an dernier, les cyberattaques visant le secteur de la santé ont connu un pic lors de la pandémie, menaçant de perturber les soins aux patients et d’exposer des données confidentielles. Les centres hospitaliers de Dax ou encore de Villefranche-sur-Saône font partie des victimes. Matthieu Trivier, Solutions Architect chez Semperis partage son expertise sur le sujet.

Quels sont les établissements de santé visés par les cybercriminels ? Le secteur de la santé est une cible de choix en raison du butin potentiel. Les hôpitaux sont particulièrement vulnérables au chantage, car les violations de données risquent de déboucher sur des actions en justice et des enquêtes administratives, ce qui risque de créer des perturbations sur plusieurs mois pendant l’application de contre-mesures. Mais les conséquences d’une cyberattaque contre un hôpital peuvent aller bien au-delà des retombées d’une fuite de données. La paralysie d’un hôpital par une cyberattaque met des vies en danger. Les soins des patients sont perturbés pendant que les équipes informatiques font tout leur possible pour remettre les services de santé en ligne rapidement.

Les cybercriminels misent sur le fait que les établissements de santé seront soumis à une pression extrême pour rétablir un fonctionnement normal et seront prêts à verser une rançon incroyablement élevée pour ce faire.

Par conséquent, pourquoi les établissements de santé sont-ils aussi vulnérables et que peuvent-ils faire pour y remédier ?

Tout d’abord, ils sont soumis à des réglementations strictes de confidentialité des données. L’Active Directory (AD) d’un système de santé comprend le statut des rôles et privilèges des utilisateurs, ainsi que tous les changements critiques apportés à l’environnement. Les informations contenues dans l’’AD permettent de savoir si une organisation a implémenté une architecture conforme aux exigences réglementaires. Ce qui fait de l’AD une mine de renseignements aussi bien pour les audits de conformité que pour les cybercriminels qui peuvent savoir qui a accès à quoi au sein de l’organisation. Ce qui fait de l’AD l’un des vecteurs d’attaque les plus communs.

Ensuite, un environnement hospitalier est soumis à un stress intense. Les rotations du personnel sont considérables. Les équipes informatiques chargées de l’intégration et de la gestion des départs doivent faire preuve d’une prudence extrême lors de la vérification des paramètres d’autorisation d’accès, de la création et de la suppression de comptes.

Troisièmement, le déploiement des services cloud de télémédecine, qui a commencé avant la pandémie, mais a été accéléré considérablement à cause de cette dernière, crée ses propres défis de sécurisation de l’accès distant aux systèmes. Au fur et à mesure que les établissements adoptent le cloud et utilisent l’authentification de ces systèmes tiers, leur surface d’attaque s’étend considérablement, car les stratégies de sécurité de ces fournisseurs peuvent être trop laxistes. Toute faille de sécurité des systèmes cloud tiers peut être exploitée pour infiltrer le réseau d’un établissement de santé et remettre en cause la confidentialité des données des patients.

Défense des systèmes d’identité de santé contre les cyberattaques

Quelles sont les solutions concrètes pour contrer les cyberattaques visant les établissements de santé ?

Les mesures d’hygiène et de sécurité de l’Active Directory qui ont fait leurs preuves dans les autres industries sont également valables pour la santé.

• Active Directory sécurisé

Les attaques critiques visant l’infrastructure commencent souvent par l’exploitation des faiblesses d’AD pour accéder aux systèmes d’information critiques. Ces vulnérabilités sous forme d’indicateurs d’exposition,  mettent en évidence des configurations qui sont restées figées au fil du temps. Quant aux indicateurs de compromission : alertent les activités malveillantes.

Selon une étude récente portant sur les utilisateurs de Purple Knight, un outil gratuit d’évaluation de la sécurité de l’AD, des organisations de toutes tailles et de tous horizons négligent la sécurisation de l’AD et ouvrent la porte aux cyberattaques. Les établissements de santé obtiennent un score moyen de 63 % dans cinq catégories de sécurité Active Directory, ce qui est insuffisant et inférieur à tous les autres secteurs, à l’exception des assurances. Ils obtiennent également le plus grand nombre d’indicateurs critiques d’exposition aux risques et les plus mauvais scores de sécurisation des comptes. Ce faible score est attribuable notamment à l’absence de renouvellement des mots de passe d’administration et de comptes d’utilisateurs sécurisés par mot de passe.

Établir des conditions permettant de visualiser l’environnement AD de votre organisation pour identifier ces vulnérabilités constitue la première étape de blocage des cyberattaques visant l’identité. Les établissements qui ne disposent pas des outils nécessaires pour cette vérification peuvent télécharger l’outil Purple Knight.

• Identifier les modifications malveillantes de l’AD

La difficulté de détection des attaques résulte du fait que les modifications de l’AD passent sous le radar des outils traditionnels d’historisation. Cette lacune des solutions SIEM traditionnelles permet aux cybercriminels de rester tapis dans l’environnement pendant plusieurs semaines ou mois avant de passer à l’acte. Pendant ce temps, ils s’approprient des privilèges et un niveau d’accès plus élevés, afin de se déplacer latéralement sur le réseau pour cartographier le système et cibler les attaques. Les outils permettant d’identifier les attaques contournant les systèmes de détection par agent ou fichier journal et assurant la neutralisation autonome des activités suspectes peuvent aider les établissements à identifier les modifications malveillantes.

• Mettre en place un plan structuré de récupération intégrale de la forêt AD

Lorsque des cybercriminels font des demandes de rançon et que le personnel hospitalier ne peut plus accéder aux dossiers des patients, un plan de récupération rapide, éprouvé et exempt de logiciels malveillants de la forêt AD peut amortir considérablement l’impact de l’indisponibilité de l’AD. En cas de blocage généralisé, le rétablissement de l’AD est la condition préalable de la remise en service des systèmes. Mais, selon un sondage du SANS Institute, seul un établissement sur cinq a prévu et testé un plan de récupération de l’AD en cas de cyberattaque.

Cette lacune peut avoir des effets dévastateurs pour les établissements de santé, car la restauration de la forêt AD est notoirement compliquée et peut échouer. Le guide volumineux fourni par Microsoft détaille les 28 étapes de restauration de la forêt AD, mais ce processus est essentiellement manuel et donc faillible, ce qui peut vous contraindre à tout recommencer. Le processus manuel de restauration de l’AD peut prendre plusieurs jours, voire plusieurs semaines, et risque d’installer à nouveau les logiciels malveillants qui ont permis aux pirates de s’y introduire.

Réalisez régulièrement des tests pour réduire le risque d’erreur et accélérer la restauration si l’établissement subit une demande de rançon. De plus, un processus automatisé de récupération de la forêt permet de rétablir l’AD en quelques minutes, ce qui accélère le rétablissement d’un fonctionnement normal et permet de s’assurer que les systèmes repartent à partir d’un état de sécurité connu.

Étant donné le nombre croissant d’attaques et les graves conséquences de la perturbation des soins, les organisations de santé doivent faire face au risque très réel qu’un cybercriminel exploite les vulnérabilités de l’AD pour s’introduire dans l’environnement informatique et le paralyser. En comblant les lacunes de sécurité de l’AD, en déployant des solutions efficaces de détection des menaces et en implémentant un plan éprouvé de restauration de l’AD, les établissements de santé peuvent atténuer les risques de cyberattaques mettant en jeu la vie des patients.