Le secteur de la santé se réinvente dans le Cloud, ce qui l’expose aux cybermenaces. Comment empêcher ces attaques ?

Les avancées technologiques dans le secteur de la santé ont mené à une interconnectivité accrue et à des infrastructures dans le Cloud afin de respecter la distanciation physique due au COVID-19 et de répondre au besoin urgent de traiter un nombre important de patients par le biais de la télésanté. 

Selon les données fournies par la société d’études de marché et de conseil Global Markets Insights, le marché du Cloud Computing dans le secteur médical a été évalué à plus de 29 milliards de dollars en 2020 et devrait atteindre 79,3 milliards de dollars d’ici 2027, avec un TCAC de 13,4 %. Nous sommes donc confrontés à un secteur majeur et à un processus de migration vers le Cloud, ce qui n’est pas passé inaperçu auprès des cybercriminels.

Que recherchent les cybercriminels lorsqu’ils s’attaquent au secteur médical ?

Les dossiers médicaux sont des données très convoitées, car il existe de nombreuses façons d’exploiter ces informations sur le Dark Web et les pirates informatiques peuvent en tirer d’importantes sommes d’argent. Par exemple, ces données peuvent être utilisées pour acheter des ordonnances, recevoir des traitements ou réaliser de fausses demandes de remboursement de frais médicaux et provoquer un chaos généralisé, ce qui affectera à long terme les personnes dont les données ont été volées.

Les résultats du Data Breach Investigation Report élaboré par Verizon indiquent que les motivations évoquées par les acteurs de la menace pour justifier l’attaque de ce secteur sont tout d’abord une motivation financière (95 %), suivie de l’espionnage (4 %), de la commodité (1 %) et pour finir, des représailles (1 %).

Une fois que les pirates informatiques ont accès au système d’un établissement de soins de santé, les données compromises concernent généralement les données personnelles (58 %), les données médicales (46 %), les identifiants (29 %) et d’autres données (29 %).

Principaux types de cyberattaques visant le secteur de la santé

Outre la valeur des données sensibles à caractère personnel, le secteur de la santé est souvent une cible relativement facile pour les pirates informatiques mal intentionnés. De nombreux éléments rendent un système plus vulnérable, dont l’essor de l’Internet des objets médicaux (IoMT), une protection insuffisante (comme l’utilisation de portails pour partager les informations médicales des patients qui peuvent servir de point d’entrée par le biais de mots de passe faibles), le non-usage de l’authentification multifacteur (MFA), le fait de ne pas disposer de solutions de cybersécurité capables de mettre un terme aux menaces sophistiquées, l’utilisation de systèmes hérités et une formation inefficace des employés.

Dans une enquête menée en mars cette année, l’organisme à but non lucratif Health-ISAC a identifié les cinq principales menaces de cybersécurité pour le secteur de la santé entre 2021 et 2022 :

• Les ransomwares
• Le phishing
• Les fuites de données afférentes à des tiers
• Les fuites de données relevant de la propriété intellectuelle
• Les menaces internes

De même, les résultats de l’enquête 2021 HIMSS Healthcare Cybersecurity Survey (enquête sur la cybersécurité dans le secteur de la santé élaborée par HIMSS et portant sur l’année 2021) confirment ces données, en plaçant le phishing et les ransomwares en tête des résultats avec une part respective de 45 % et de 17 %. Ces deux premiers résultats sont suivis par les fuites de données (7 %) et l’ingénierie sociale (5 %).

L’authentification multifacteur (MFA) : élément essentiel aux systèmes de santé

Si les professionnels de santé accèdent au dossier médical informatisé d’un patient par le biais d’un portail médical, il est essentiel qu’ils suivent un protocole garantissant que l’accès est limité aux personnes autorisées à le consulter. Les données médicales doivent être limitées au personnel essentiel et l’accès doit être fréquemment vérifié.

De plus, si l’accès au Cloud est concerné, la mise en œuvre d’une solution à authentification multifacteur (MFA) est strictement obligatoire. La confidentialité des données est si importante que l’authentification multifacteur (MFA) doit également être signalée au sein des réseaux du secteur de la santé. Certaines entreprises suppriment l’exigence d’authentification multifacteur lorsque les utilisateurs sont physiquement au sein du réseau, ignorant le risque d’attaques et de mouvements latéraux. Par exemple, en 2021, un hôpital néerlandais a été condamné à une amende de 440 000 € par l’autorité néerlandaise de protection des données en raison d’une protection inadéquate des dossiers des patients entre 2018 et 2020, car ils n’ont pas mis en œuvre des mesures de sécurité suffisantes pour empêcher l’accès non autorisé aux dossiers par des utilisateurs depuis l’intérieur du réseau.

Pourtant, HIMSS a révélé dans les résultats de son enquête mondiale que seulement 34 % des personnes interrogées déclarent avoir mis en œuvre l’utilisation d’une authentification multifacteur dans leur entreprise. En revanche, d’autres personnes interrogées ont indiqué que ce type d’authentification est appliqué dans une moindre mesure au sein de leur institution. Cela représente un risque inutile pour la confidentialité, l’intégration et la disponibilité des informations.

En tant que fournisseur de services managés (MSP), il est important d’établir l’utilisation de cette solution et de conseiller les clients du secteur de la santé sur la solution la plus adaptée pour eux. Les systèmes de santé gèrent des données extrêmement sensibles, telles que les informations médicales des utilisateurs, et le déploiement de l’authentification multifacteur pour y accéder est essentiel, en plus d’être une obligation réglementaire de longue date. Les structures médicales qui ont inclus l’authentification multifacteur sont en conformité avec la réglementation, comme dans cette étude de cas pour la Generalitat Valenciana, tandis que l’absence de déploiement de cette sécurité peut entraîner des sanctions et de graves failles de sécurité.