Doctor health institution healthcare
12 avril 2021 / Approfondissement

Pourquoi 88 % des cyberattaques visent le secteur des soins de santé

Les organisations du secteur de la santé ne sont pas suffisamment préparées pour faire face aux cyberattaques. Les hôpitaux présentent un risque, mais les maisons de retraite aussi : le phishing touche tout le monde.


Le mois de septembre 2020 restera à jamais marqué par une triste première : un hôpital de Düsseldorf est devenu le théâtre du premier décès (confirmé) directement lié à une cyberattaque. Parce qu'un ransomware, qui s'était introduit dans le système par le biais d'un simple courriel d'hameçonnage, avait mis à mal les systèmes informatiques de l'établissement, les prestataires de soins n'ont pas pu enregistrer de nouveaux patients aux urgences. La femme a alors dû être transportée dans un établissement voisin mais n'a malheureusement pas survécu.

Les hôpitaux sont souvent la cible privilégiée des cyberattaques. Cette année, aux États-Unis et en République tchèque notamment, de nombreux hôpitaux et groupes de soins de santé entiers ont été victimes de pirates informatiques. En mars, plusieurs gouvernements européens sont allés jusqu'à adresser des avertissements officiels à tous les établissements de santé de leur pays.

Mais les hôpitaux ne sont pas les seules cibles : en janvier 2020, les services municipaux de la ville belge de Willebroek ont été hors service pendant plus d'une semaine après qu'une attaque réussie de ransomware se soit introduite dans le réseau par l'intermédiaire d'une maison de retraite.

Pourquoi cibler les hôpitaux ?

Il n'y a aucun type d'organisation où l'expression "infrastructure critique" est plus vraie que dans le secteur des soins de santé. Comme le montre l'exemple de Düsseldorf : si les patients ne reçoivent pas l'aide dont ils ont besoin parce que les systèmes informatiques sont hors service, des personnes peuvent mourir. Les hôpitaux ont besoin de leurs réseaux et de leurs appareils pour partager rapidement des informations entre les médecins et les infirmières et pour s'assurer que les équipements importants qui peuvent sauver des vies continuent de fonctionner.

Si ce type d'organisation ne dispose pas de sauvegardes décentes ou ne peut pas résoudre le problème rapidement, la tentation de payer la rançon se fait vite sentir. C'est compréhensible : leur première priorité est de sauver des vies. Si une organisation n'a pas d'autre choix que de payer, elle devient la cible idéale pour les pirates.

En outre, les hôpitaux font souvent partie d'associations de prestataires de soins de santé plus importantes. En Belgique ou aux Pays-Bas, ces groupes sont limités par région, mais au Royaume-Uni ou aux États-Unis, ces associations peuvent comprendre jusqu'à des centaines d'hôpitaux et d'organisations similaires. Si un pirate met le pied dans l'une de ces institutions, il peut facilement l'utiliser comme rampe de lancement pour infecter des collègues d'autres organisations - il s'agit alors de spear phishing.

Une étude américaine
montre que pas moins de 88 % des attaques de ransomware visent les hôpitaux. Tôt ou tard, l'une d'entre elles passe entre les mailles du système de cybersécurité, même le plus sophistiqué.

Les pirates informatiques profitent pleinement de la crise mondiale pour bombarder les professionnels de la santé de fausses informations sur le virus.

Pourquoi cibler les maisons de retraite ?

Début 2020, un courriel de phishing a fait surface dans une maison de retraite de Willebroek, en Belgique. Avant que quiconque ne sache ce qui se passait, tous les ordinateurs du réseau des services municipaux étaient hors service. L'affaire a rapidement dégénéré, prouvant une fois de plus qu'il est impossible d'arrêter un pirate une fois qu'il a accédé au réseau.

Une maison de retraite est une cible intéressante car elle est reliée à une pléthore de nouvelles cibles séduisantes. En l'occurrence : les services municipaux ou les maisons de retraite et les hôpitaux au sein d'un même groupe.

Le danger des coronavirus

La pandémie de coronavirus a contribué à l’explosion du nombre de cyberattaques visant le secteur de la santé. D'après nos propres simulations, nous constatons que les fausses nouvelles - ou les imitations de directives gouvernementales - figurent systématiquement dans le top 3 des tentatives de phishing les plus réussies. Les articles liés au coronavirus sont en plein essor. C'est tout à fait naturel : les gens sont curieux et veulent être informés, ils ont un besoin évident de transparence et parfois l'insécurité prend le dessus sur l'esprit rationnel.

De nombreux gouvernements européens ont déjà lancé des avertissements concernant cette menace : les professionnels de la santé souffrent d'une forte pression au travail, ce qui entraîne une baisse d'attention pour la sécurité informatique. Les pirates informatiques ont pleinement profité de la crise mondiale pour bombarder les professionnels de la santé de fausses informations sur le virus. En République tchèque et aux États-Unis, entre autres, cela a conduit à des campagnes de ransomware extrêmement réussies. En outre, la menace ne fait que s'amplifier.

Qui est vulnérable ?

C'est un mythe de croire que seuls les membres du personnel n'ayant pas reçu de véritable formation anti-hameçonnage seraient vulnérables aux tentatives de piratage. Nos données prouvent que tout le monde est à risque, aussi bien les infirmières que les médecins ou le personnel administratif. De nos jours, le phishing est tout simplement trop habilement élaboré ; il faut un œil bien affuté pour repérer les différences.

C'est donc une grave erreur de penser que seuls les employés peu qualifiés sont vulnérables aux cyberattaques. Examinons la situation d'un hôpital : le personnel administratif est probablement moins susceptible de tomber dans un piège car il est beaucoup plus souvent en contact avec le phishing que les médecins hautement qualifiés. Les priorités des médecins sont, bien entendu, très différentes, ce qui fait d'eux les victimes les plus probables. En outre, des études montrent que les résultats de la formation à la lutte contre le phishing commence à s'estomper après un mois seulement. Une formation régulière doit être une condition préalable.

Pour apprendre véritablement, les gens ont besoin de répétitions.

Que pouvez-vous faire ?

Les humains sont le maillon faible de la cyber sécurité. Pour limiter autant que possible les risques, il est nécessaire que chacun au sein d'une organisation reçoive une formation régulière pour maintenir son hygiène numérique. Un séminaire ou un atelier est un bon début, mais rien ne vaut la réalité : le contact avec des tentatives réelles (simulées) de phishing.

Pour apprendre véritablement, les gens ont besoin de répétitions. C'est la seule façon pour eux d'acquérir l'expérience nécessaire pour reconnaître les menaces et apprendre à y faire face ou savoir ce qu'ils doivent faire en cas de vol des données. Tous les profils d'une organisation peuvent bénéficier d'une telle formation, du personnel administratif aux chirurgiens.

C'est là que Phished intervient. Avec l'aide de notre plateforme de phishing automatisée, plus de 50 000 utilisateurs quotidiens aiguisent déjà leurs compétences en matière de lutte contre le phishing. Ils apprennent à reconnaître et à traiter tous les types de phishing.