La vague de cyberattaques qui touche le secteur hospitalier français et européen depuis le début de l’année prend une ampleur sans précédent. Après l’attaque qui avait visé le système d'information du Groupement Hospitalier de Territoire (GHT) Cœur Grand Est en avril dernier, un hôpital d'Ajaccio lui aussi était victime d'une cyberattaque de type rançongiciel.
La dernière en date a mis quasiment hors service le Centre Hospitalier Sud Francilien (CHSF) depuis le 22 août ; tous les logiciels métiers de l’hôpital, les systèmes de stockage (notamment d’imagerie médicale) et le système d’information ayant trait aux admissions de la patientèle sont pour l’heure inaccessibles. Alors que l’Agence Régionale de Santé (ARS) d’Île-de-France déclenchait son plan blanc, le GIGN aurait conduit les négociations avec les cybercriminels.
Vulnérabilité du secteur de la santé
Une enquête Proofpoint menée en mai dernier montrait que, en France, les RSSI du secteur de la santé étaient les plus conscients du risque de cyberattaque contre leur système (83 % des répondants). Ceux-ci considéraient aussi que la plus grande vulnérabilité de leur organisation venait de leurs collaborateurs, mais pour 67 % d’entre eux (la proportion la plus importante à travers tous les secteurs étudiés), ces derniers ne se rendaient pas compte du rôle qu’ils avaient à jouer dans la protection de leur organisation.
Le risque est pourtant bien réel, tant d’un point de vue financier que de santé publique. Un rapport du Ponemon Institute, l’un des principaux organismes de recherche en sécurité informatique a en effet révélé que le coût moyen des cyberattaques les plus onéreuses ayant touché le secteur de la santé s’établit à 4,4 millions de dollars dont 1 million en perte directe de productivité. Par ailleurs, plus de 20 % des établissements de santé qui ont été victimes de cyberattaques ont ensuite connu une augmentation du taux de mortalité de leurs patients, et plus de la moitié ont vu une détérioration de la qualité des soins apportés au quotidien.
En septembre 2022, Proofpoint a réalisé une analyse de la protection DMARC (Domain Message Authentication Reporting and Conformance) de l’ensemble des 30 centres hospitaliers universitaires (CHU) français. Le protocole d’authentification DMARC a été conçu pour empêcher les pirates informatiques d'usurper l'identité d’une organisation et de son domaine, en rejetant tous les messages non authentifiés. Fortement recommandé par l’ANSSI, ce protocole permet ainsi de combattre spam, phishing et fraudes par courriels, menaces les plus virulentes à l’échelle mondiale.
Les résultats de l’analyse DMARC des CHU montrent que la moitié d’entre eux ne dispose d’aucun niveau d’authentification requis pour protéger les usagers contre la fraude par email. Parmi ceux ayant publié un enregistrement DMARC, onze ont une protection des plus sommaires, et seulement trois ont un système de mise en quarantaine des courriels douteux. Enfin, un seul CHU parmi les 30 étudiés a mis en place un rejet automatique des courriels suspicieux, la protection DMARC la plus haute qui permet de combattre de façon proactive toutes tentatives d’hameçonnage.
Des technologies telles que le système DMARC constituent un réel frein aux tentatives d’attaques de cybercriminels toujours plus audacieuses. Cette technologie empêche d'usurper les domaines des entreprises et d'envoyer des messages en leur nom. Les organisations devraient également envisager l'analyse dynamique des courriels pour bloquer l'usurpation du nom d'affichage sur les portails, et la découverte de domaines similaires pour rechercher des domaines récemment enregistrés par des tiers, ainsi que la prévention des pertes de données (DLP) et le chiffrement pour protéger leurs actifs essentiels.
Sensibiliser le personnel soignant
Les cybercriminels ciblent principalement les utilisateurs plutôt que l'infrastructure, car il est plus facile et plus rapide de tromper un humain que de pénétrer un pare-feu ou pirater un compte. Inévitablement, une menace passera par la passerelle de messagerie. Pour ce faire, les criminels utilisent l'ingénierie sociale afin d’inciter les utilisateurs à cliquer sur des URL dangereuses, à ouvrir des pièces jointes malveillantes, à saisir leurs informations d'identification, à envoyer des données sensibles, à transférer des fonds, etc.
Toutes les parties prenantes et notamment les personnels soignants doivent donc apprendre à reconnaître ces menaces et à y répondre pour réduire la probabilité d'une compromission. La formation et la sensibilisation à la cybersécurité ont pour but de fournir des exemples de menaces réelles, apprendre aux utilisateurs comment réagir lorsqu'ils sont confrontés à des menaces, les aider à acquérir des bonnes pratiques en matière de cybersécurité et évaluer la manière dont ils appliquent dans la vie réelle ce qu'ils apprennent.
Les principaux thèmes de formation portent généralement sur la gestion des mots de passe, la protection de la vie privée, la sécurité des courriels et du phishing, la sécurité du Web et de l'Internet, ainsi que la sécurité physique et celle des bureaux.
En parallèle, régulièrement rappeler quelques principes fondamentaux :
- Utilisation de l'authentification multifactorielle (MFA)
- Création de mots de passe forts
- Mise à jour des logiciels