Frédéric Merland, Lead/Expert IT Risk & CyberSecurity, nous explique les tendances et tactiques de cyberdéfense utilisées par les organismes de santé.

Alors qu’à travers le monde, des organismes étatiques appellent à rendre la vaccination contre la Covid-19 quasi-obligatoire, de plus en plus d’acteurs de la santé subissent des cyber attaques ciblées et sophistiquées.

À quoi s’apparentent ces dernières et comment s’organisent les institutions face aux cyber risques qui pèsent sur leurs systèmes d’information ?

Entre désinformation, faiblesses techniques, hacktivisme et fraudes

Les établissements de santé, les laboratoires de recherche, les organisations ou encore les partenaires de ces institutions sont des cibles de premier choix, dès lors qu’ils disposent de données relatives à la recherche, au développement de médicaments ou aux essais cliniques, ou tout fragment d’information pouvant potentiellement être utilisé à des fins de désinformation.  

Certains « hacktivistes » vont même jusqu’à exploiter toutes les connexions humaines ou informatiques en s’introduisant frauduleusement dans les systèmes et en s’employant à débusquer les vulnérabilités des systèmes de contrôle industriel médicaux (Internet of Medical Things – IoMT), comme par exemple ceux du refroidissement des réfrigérateurs, pour endommager les stocks.

Le rapport de la société Claroty indique que sur le premier semestre 2021, les attaques sur les systèmes industriels ont progressé de plus de 40% par rapport au second semestre 2020.

Les analystes du renseignement estiment que le risque de vol d’informations de patientèle est également très élevé sur les diverses plateformes pour obtenir un rendez-vous pour un vaccin où encore sur les applications de type « contact tracing » où il est parfois possible, par recroisement de données personnelles, d’identifier des personnes ainsi que le résultat de leur test, de status vaccinal, de leurs relations sociales, selon des chercheurs de l’INRIA.

La CNIL a dernièrement été informée de la fuite de données de l’Assistance Publique-Hôpitaux de Paris (AP-HP) concernant 1,4 million de personnes testées contre la COVID-19 et le code QR du pass sanitaire du Président et du Premier Ministre Français (Macron et Castex) ont même fuité sur les réseaux sociaux.

Enfin, la falsification de certificats de vaccination connaît un succès sans précédent. Rien de plus simple moyennant un paiement en crypto-monnaie, que d’obtenir pour 50 à 1 000 CHF un certificat authentique et valable dans toute l’Europe, sans avoir reçu la moindre injection. À ce sujet, un bond de 257 % du nombre de vendeurs qui se servent de Telegram pour réaliser ces fraudes a été rapporté.

Le NCSC communiquait récemment sur ce sujet, confirmant les offres sur Telegram ainsi que plusieurs plateformes de réseaux sociaux, en informant le public que dans plusieurs cas, une fois le paiement en crypto-monnaie reçu, la « marchandise » n’est pas livrée.

Le savoir est une arme

C’est dans ce contexte de cyberguerre que la protection par l’identification des ressources et des vulnérabilités s’impose. Conscients que l’on ne peut protéger que ce que l’on connaît, les organismes de santé optent pour le chiffrement de données autant que possible, mais s’attèlent aussi à répertorier chacun des éléments constitutifs de leurs infrastructures, par où transitent ces données ; pour identifier avec précision quels processus, quels appareils, quelles personnes et quels tiers ont accès aux ressources stratégiques.

Le recueil de ces inventaires leur permet d’initier de vastes programmes de conformité (NIST, ISO 27001, 22301, 37001) et de développer des plans de gestion des risques cohérents, couvrant l’intégralité des processus, de la conception jusqu’à la distribution de leurs produits et services.

Ces mêmes organismes veillent aussi en parallèle à se protéger juridiquement contre les actes de négligence ou de fraude dont ils pourraient, via la chaîne de leurs partenaires, être amenés à porter la responsabilité. C’est à grand renfort d’avocats qu’ils multiplient leurs accords de confidentialité (NDAs) et d’échange de matières (MTAs) et qu’ils appliquent progressivement les modèles de sécurité de l’information de niveau militaire (ex : Bell-Lapadula) dans leurs systèmes d’information.

 Quels moyens technologiques ?

Si les outils de cyberdéfense usuels à toute entreprise restent d’actualité, l’arsenal défensif se voit de plus en plus renforcé par des techniques de poly-instanciation et des technologies de tromperie, permettant de leurrer les attaquants qui réussiraient à passer les barrières périmétriques.

L’implémentation des solutions d’orchestration, d’automatisation et de réponse « SOAR », qui identifient, hiérarchisent et automatisent sans intervention humaine le travail de réponse aux menaces de faible niveau, séduisent de plus en plus de Direction des Systèmes Informatique (DSI) pour la simple raison qu’elles déchargent significativement les équipes de sécurité et permettent de s’affranchir à moindre mal de la pénurie de spécialistes en cybersécurité.

Enfin, les autres outils de sécurité traditionnels configurés individuellement ayant tendance à rendre les infrastructures par endroits plus vulnérables (par conception empirique), les départements IT s’engagent dans des politiques de sécurité plus universelles pour sortir définitivement des modèles dits « château-fort », qui utilisent une approche de défense périmétrique. Basées sur le principe de « ne jamais faire confiance à personne et de toujours tout vérifier », ce sont donc désormais les architectures « Zéro-Trust » multi-niveaux qui nourrissent les réflexions et sont en cours d’implémentation.

 La résilience, synonyme d’éternité

La culture de résilience continue de se développer. Il est ainsi de plus en plus courant de voir désignés des leaders en interne, dédiés, capables d’orchestrer rapidement des plans de « réaction » ; il s’agit de sensibiliser et former le personnel ainsi qu’entraîner les équipes techniques à travers des simulations de réponses aux incidents.

Une stratégie d’ouverture des entreprises envers les écosystèmes étatiques

Bien que les entreprises veillent à garder le contrôle de la communication lors des gestions de crises, elles ont de plus conscience qu’il n’existe pas de cyberdéfense sans coopération et c’est pourquoi les canaux pour communiquer avec les agences étatiques sont aussi de plus en plus développés. En effet, il n’a pas échappé aux grandes entreprises que les gouvernements avaient un intérêt majeur à protéger le développement des vaccins, au niveau national, notamment en raison de leurs investissements substantiels. Ainsi ces échanges de savoir-faire et d’informations sur les menaces constituent un avantage pour les organisations.