Cybercriminalité et vaccination : Protéger ce qui peut protéger

Entre désinformation, faiblesses techniques, hacktivisme et fraudes

Frédéric Merland, Lead/Expert IT Risk & CyberSecurity, nous explique les tendances et tactiques de cyberdéfense utilisées par les organismes de santé.

Alors qu’à travers le monde, des organismes étatiques appellent à rendre la vaccination contre la Covid-19 quasi-obligatoire, de plus en plus d’acteurs de la santé subissent des cyber attaques ciblées et sophistiquées.

À quoi s’apparentent ces dernières et comment s’organisent les institutions face aux cyber risques qui pèsent sur leurs systèmes d’information ?

Les établissements de santé, les laboratoires de recherche, les organisations ou encore les partenaires de ces institutions sont des cibles de premier choix, dès lors qu’ils disposent de données relatives à la recherche, au développement de médicaments ou aux essais cliniques, ou tout fragment d’information pouvant potentiellement être utilisé à des fins de désinformation.

Certains « hacktivistes » vont même jusqu’à exploiter toutes les connexions humaines ou informatiques en s’introduisant frauduleusement dans les systèmes et en s’employant à débusquer les vulnérabilités des systèmes de contrôle industriel médicaux (Internet of Medical Things – IoMT), comme par exemple ceux du refroidissement des réfrigérateurs, pour endommager les stocks.

Le rapport de la société Claroty indique que sur le premier semestre 2021, les attaques sur les systèmes industriels ont progressé de plus de 40% par rapport au second semestre 2020.

Les analystes du renseignement estiment que le risque de vol d’informations de patientèle est également très élevé sur les diverses plateformes pour obtenir un rendez-vous pour un vaccin où encore sur les applications de type « contact tracing » où il est parfois possible, par recroisement de données personnelles, d’identifier des personnes ainsi que le résultat de leur test, de status vaccinal, de leurs relations sociales, selon des chercheurs de l’INRIA.

La CNIL a dernièrement été informée de la fuite de données de l’Assistance Publique-Hôpitaux de Paris (AP-HP) concernant 1,4 million de personnes testées contre la COVID-19 et le code QR du pass sanitaire du Président et du Premier Ministre Français (Macron et Castex) ont même fuité sur les réseaux sociaux.

Enfin, la falsification de certificats de vaccination connaît un succès sans précédent. Rien de plus simple moyennant un paiement en crypto-monnaie, que d’obtenir pour 50 à 1 000 CHF un certificat authentique et valable dans toute l’Europe, sans avoir reçu la moindre injection. À ce sujet, un bond de 257 % du nombre de vendeurs qui se servent de Telegram pour réaliser ces fraudes a été rapporté.

Le NCSC communiquait récemment sur ce sujet, confirmant les offres sur Telegram ainsi que plusieurs plateformes de réseaux sociaux, en informant le public que dans plusieurs cas, une fois le paiement en crypto-monnaie reçu, la « marchandise » n’est pas livrée.

Le savoir est une arme

C’est dans ce contexte de cyberguerre que la protection par l’identification des ressources et des vulnérabilités s’impose. Conscients que l’on ne peut protéger que ce que l’on connaît, les organismes de santé optent pour le chiffrement de données autant que possible, mais s’attèlent aussi à répertorier chacun des éléments constitutifs de leurs infrastructures, par où transitent ces données ; pour identifier avec précision quels processus, quels appareils, quelles personnes et quels tiers ont accès aux ressources stratégiques.

Le recueil de ces inventaires leur permet d’initier de vastes programmes de conformité (NIST, ISO 27001, 22301, 37001) et de développer des plans de gestion des risques cohérents, couvrant l’intégralité des processus, de la conception jusqu’à la distribution de leurs produits et services.

Ces mêmes organismes veillent aussi en parallèle à se protéger juridiquement contre les actes de négligence ou de fraude dont ils pourraient, via la chaîne de leurs partenaires, être amenés à porter la responsabilité. C’est à grand renfort d’avocats qu’ils multiplient leurs accords de confidentialité (NDAs) et d’échange de matières (MTAs) et qu’ils appliquent progressivement les modèles de sécurité de l’information de niveau militaire (ex : Bell-Lapadula) dans leurs systèmes d’information.

Quels moyens technologiques ?

Si les outils de cyberdéfense usuels à toute entreprise restent d’actualité, l’arsenal défensif se voit de plus en plus renforcé par des techniques de poly-instanciation et des technologies de tromperie, permettant de leurrer les attaquants qui réussiraient à passer les barrières périmétriques.

L’implémentation des solutions d’orchestration, d’automatisation et de réponse « SOAR », qui identifient, hiérarchisent et automatisent sans intervention humaine le travail de réponse aux menaces de faible niveau, séduisent de plus en plus de Direction des Systèmes Informatique (DSI) pour la simple raison qu’elles déchargent significativement les équipes de sécurité et permettent de s’affranchir à moindre mal de la pénurie de spécialistes en cybersécurité.

Enfin, les autres outils de sécurité traditionnels configurés individuellement ayant tendance à rendre les infrastructures par endroits plus vulnérables (par conception empirique), les départements IT s’engagent dans des politiques de sécurité plus universelles pour sortir définitivement des modèles dits « château-fort », qui utilisent une approche de défense périmétrique. Basées sur le principe de « ne jamais faire confiance à personne et de toujours tout vérifier », ce sont donc désormais les architectures « Zéro-Trust » multi-niveaux qui nourrissent les réflexions et sont en cours d’implémentation.

La résilience, synonyme d’éternité

La culture de résilience continue de se développer. Il est ainsi de plus en plus courant de voir désignés des leaders en interne, dédiés, capables d’orchestrer rapidement des plans de « réaction » ; il s’agit de sensibiliser et former le personnel ainsi qu’entraîner les équipes techniques à travers des simulations de réponses aux incidents.

Une stratégie d’ouverture des entreprises envers les écosystèmes étatiques

Bien que les entreprises veillent à garder le contrôle de la communication lors des gestions de crises, elles ont de plus conscience qu’il n’existe pas de cyberdéfense sans coopération et c’est pourquoi les canaux pour communiquer avec les agences étatiques sont aussi de plus en plus développés. En effet, il n’a pas échappé aux grandes entreprises que les gouvernements avaient un intérêt majeur à protéger le développement des vaccins, au niveau national, notamment en raison de leurs investissements substantiels. Ainsi ces échanges de savoir-faire et d’informations sur les menaces constituent un avantage pour les organisations.

Cookie	Duration	Description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duration	Description
_ga	1 year 1 month 4 days	Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors.
_ga_*	1 year 1 month 4 days	Google Analytics sets this cookie to store and count page views.
CONSENT	2 years	YouTube sets this cookie via embedded YouTube videos and registers anonymous statistical data.

Cookie	Duration	Description
VISITOR_INFO1_LIVE	5 months 27 days	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
YSC	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-device-id	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt.innertube::nextId	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.