Cybermenaces en santé : L'Anssi livre son diagnostic et les remèdes

Dans un dernier rapport, l'agence nationale de la sécurité des systèmes d'information dresse un état des lieux des menaces affectant le secteur de la santé. De l'extorsion par rançongiciels à la revente de données volées en passant par l'espionnage et la déstabilisation, l'éventail des risques est large tout comme les moyens de protéger.

Pour les cybercriminels, les acteurs de la santé sont devenus une véritable poule aux oeufs d'or. Il faut dire que tous les acteurs de ce milieu (hôpitaux, laboratoires d'analyse médicale...) ont négligé pendant des années les mises à jour de systèmes, des investissements aussi bien que des actions de prévention/sensibilisation efficaces pour faire face au pire. Dans un dernier rapport "Secteur de la santé - Etat de la menace informatique", l'agence nationale de la sécurité des systèmes d'information (Anssi) s'est penchée sur les différentes menaces ciblant ce domaine et émis ses recommandations pour tenter d'y faire face. A noter que le rapport prend en compte les évolutions de la menace entre 2020 et 2024 et que les patients ne sont pas inclus dans son périmètre d'étude.

"Parmi les incidents et signalements transmis à l’Anssi entre janvier 2022 et décembre 2023 dans le secteur de la santé, 86% concernaient des établissements de santé, 7% des organisations productrices de produits pharmaceutiques, 5% des centres de recherche médicale et 2% les ministères en charge des politiques de santé et leurs établissements publics. La part de ces événements dans le total des incidents ou signalements traités par l’Agence n’a cessé d’augmenter, passant de 2,87% en 2020, à 11,4% en 2023", indique l'agence. Selon ses statistiques, les incidents touchant des établissements de santé observés en 2022 et 2023 sont réparties à part égales entre des compromissions de comptes de messagerie parfois couplées à des envois de courriels d’hameçonnage, des chiffrements par rançongiciels et des exfiltrations de données ou encore des indisponibilités temporaires liées à des dénis de service, et enfin des comportements à risque d’utilisateurs (téléchargement de logiciels infectés, clés USB vérolées...) et des problèmes matériels tels que des pannes, ainsi que des compromissions par des codes malveillants aux conséquences très limitées.

Une approche tous azimuts de la cybersécurité

Parmi les principales menaces à finalité lucrative, l'Anssi fait ressortir d'abord les attaques par rançongiciel à des fins d'extorsion (contre des prestataires de soins, des prestataires de services pour le secteur de la santé et des industriels de produits de santé), de l'exfiltration de données à des fins de revente, et des compromissions à des fins de fraude. Deux autres catégories de menaces ont également été identifiées : à finalité d'espionnage (ciblages dans le contexte de la crise du Covid-19 et stratégique) et de déstabilisation (déni de service distribué, exfiltration de données à des fins de divulgation publique, et sabotage.)

Pour mieux se protéger des cyberattaquants, l'Anssi propose de nombreuses recommandations, rappelant en premier lieu l'importance d'une approche globale de la sécurité (actifs devant être protégés, état du SI et compétences des équipes, nature des menaces, risques et priorisation des actions...). La sécurisation tous azimuts préconisée par l'agence touche de nombreux domaines : RH, gestion des risques, développement et maintenance, architecture, IAM, gestion des failles, logs et détection des événements de sécurité, et capacité de résilience du système d'information.) Parmi les préconisations à suivre : sensibiliser les utilisateurs et administrateurs de SI, réaliser une cartographie de son SI et de son environnement, mener une analyse de risque, inclure des exigences de sécurité dans les cahiers des charges, cloisonner et filtrer les différents SI, déployer du chiffrement à tous les étages, protéger les données d'authentification, limiter les droits d'accès aux données sensibles, durcir la configuration des équipements, maintenir à jour son SI et ses règles de détection, définir un PRA/PCA, tester ses sauvegardes... « En complément de ces recommandations, une attention particulière doit être portée aux annuaires Active Directory, éléments critiques du SI qui permettent la gestion centralisée des comptes, des ressources et des permissions. Utiliser le service ADS et appliquer les recommandations fournies par le service permet d’améliorer considérablement la sécurité des annuaires Active Directory. », indique par ailleurs l'agence.