Idéalement, le secteur de la santé devrait être le dernier à être ciblé par les pirates informatiques et les cyberattaquants – personne ne voudrait paralyser les infrastructures hospitalières critiques et jouer avec des vies. Cependant, le secteur de la santé continue d’être le plus touché en termes de coût moyen des violations de données, avec un pic à 9,2 millions de dollars en 2021.
Mais pourquoi le secteur de la santé?
Ce n’est pas que les dirigeants du secteur de la santé ne veulent pas investir dans des solutions de cybersécurité, mais de nombreux obstacles se dressent sur leur chemin. L’évolution constante des cyberattaques, la vétusté des infrastructures médicales et la valeur marchande élevée des informations privées des patients sont autant de raisons pour lesquelles le secteur de la santé continue de lutter contre les cybermenaces comme aucun autre.
En outre, le temps et les ressources manquent pour former le personnel de santé à la nature des cyberattaques. Bien qu’ils soient bien formés pour sauver des vies, ils ne sont pas suffisamment formés pour comprendre les conséquences des risques en ligne.
En creusant davantage et en parcourant de multiples sources, nous avons identifié les cyberattaques les plus courantes qui menacent le secteur de la santé.
Ransomware
Les ransomwares étaient le type de logiciels malveillants le plus courant et à la croissance la plus rapide en 2021, et en 2022, ils ne montrent aucun signe de ralentissement. C’est également le vecteur d’attaque le plus opté par les acteurs de la menace ciblant le secteur de la santé. Dans une attaque typique de ransomware, les agresseurs accèdent à des données sensibles et les chiffrent, obligeant les victimes à payer une rançon en échange de la libération de ces données. En d’autres termes, les données sont prises en otage. Au lieu de payer la rançon, il est préférable d’investir une fraction de cet argent dans des outils de cryptage et de sauvegarde des données.
Vol de données
Un pirate a plus à gagner en vendant des informations médicales personnelles (PHI) qu’en vendant des détails de cartes de crédit au marché noir. Le coût moyen d’un seul enregistrement de RPS sur le marché noir est de 355 dollars. Pour mettre ce chiffre en perspective, le coût moyen d’un enregistrement d’informations relatives à une carte de crédit est d’à peine 1 à 2 dollars. Les organisations américaines peuvent se tenir informées des violations de la santé enregistrées sur ce site. Les violations de données peuvent avoir de multiples causes, comme des informations d’identification faibles ou volées ou des logiciels malveillants, dont certaines seront examinées ci-dessous.
Accès non autorisé
La première et la plus importante règle pour protéger les dossiers médicaux des patients est de les sécuriser de l’intérieur. Pour ce faire, il faut s’assurer que seul un groupe spécifique de personnes au sein de l’entreprise est autorisé à y accéder, notamment les employés et les tiers autorisés. Les PHI critiques ou les informations personnellement identifiables (PII) doivent non seulement être protégées des regards indiscrets des cybercriminels, mais aussi des personnes de l’organisation qu’elles ne concernent pas.
Un serveur de réseau piraté
Contrairement aux systèmes informatiques d’autres secteurs, un réseau de santé est une plate-forme omniprésente qui relie les différentes parties d’une organisation de santé, notamment les machines IRM, les outils de surveillance des patients, les postes de travail, les systèmes d’exploitation, les périphériques et les ordinateurs. Si ces multiples composants améliorent l’expérience globale des soins de santé, ils augmentent également la surface d’attaque de l’organisation.
Cette interaction complexe d’actifs peut conduire à des angles morts du réseau, qui peuvent être un terrain fertile pour les portes dérobées et les faiblesses que les pirates peuvent exploiter. Pour y remédier, il est recommandé de fortifier les réseaux de santé en combinant des pare-feu, des systèmes de prévention des intrusions et des outils de détection et de correction des vulnérabilités, tout en déployant une solution de gestion unifiée des terminaux pour améliorer la visibilité du réseau.
Phishing
Le schéma type de toute cyberattaque consiste à sonder le réseau à la recherche de faiblesses et à exploiter ces faiblesses pour obtenir un accès non autorisé aux fichiers et aux informations. Dans le cas du hameçonnage, la principale faiblesse qui est généralement exploitée, c’est nous : les humains. La formation du personnel de santé, la mise en place d’un accès privilégié et l’application d’une authentification multifactorielle peuvent permettre de limiter les attaques de phishing.
Courriels professionnels compromis
Cette attaque est une forme de phishing, mais au lieu de cibler le réseau de l’hôpital, les principales victimes sont les employés qui y travaillent. Les cybercriminels se font passer pour un membre de la direction et incitent les employés ou les services de santé à transférer des fonds sur le compte du cybercriminel en utilisant une combinaison d’emails usurpés et d’ingénierie sociale.
Serveurs ou bases de données non sécurisés
Les hôpitaux stockent parfois par inadvertance les dossiers des patients sur un serveur public, de sorte que toute personne disposant d’une connexion Internet puisse y accéder facilement. Il peut en résulter une véritable faille de sécurité, mettant en danger des milliers, voire des millions de dossiers de santé publique. Heureusement, les obligations de conformité telles que l’HIPAA garantissent que les organismes de santé traitent et stockent les DPI de manière plus sûre.
Conclusion
Les organismes de santé sont de plus en plus dépendants de l’informatique. Bien que les organisations adoptent des technologies avancées pour améliorer l’expérience du patient et automatiser les flux de travail, ces technologies sont rarement conçues en tenant compte de la sécurité. Et bien que cela puisse augmenter la surface d’attaque, cela ne devrait jamais être un frein à l’innovation.
Source : 7 types of cyberthreats plaguing the healthcare industry