Comment les organisations de santé peuvent-ils lutter contre l’augmentation de la cybercriminalité en 2021 ?

Une industrie vulnérable

Pour de nombreuses organisations de santé, la lutte contre la cybercriminalité a toujours été un défi majeur en raison de divers facteurs.

Mark Ward, analyste principal de la recherche au Forum sur la sécurité de l’information (ISF), déclare : « L’industrie de la santé a toujours été dans une position difficile en matière de cybersécurité. Il doit équilibrer son objectif d’aider les gens à s’améliorer par rapport à sa nécessité de protéger les informations très sensibles que le traitement génère.

« Et, comme il s’agit d’une industrie fortement réglementée, une grande partie des ressources qu’elle pourrait mettre pour mettre en place des contrôles de sécurité efficaces peut être utilisée pour assurer le respect de la pléthore de règlements qui l’empièment. »

Au cours de la prochaine année, l’industrie des soins de santé continuera de faire face à des pressions croissantes en matière de cybersécurité en plus de la pandémie persistante, affirme M. Ward.

Comme pour les soins médicaux, les premiers travaux visant à prévenir l’émergence de problèmes sont meilleurs et moins coûteux que d’agir une fois que le mal est fait.

« 2021 ne fera que se resserrer à mesure que de plus en plus de réglementations autour des données de santé sensibles seront déployées et que la lutte en cours contre la pandémie se fera davantage d’exigences pour partager les données que détiennent les organisations de soins de santé », ajoute-t-il.

Ward croit que les responsables de la sécurité travaillant dans l’industrie de la santé devraient traiter leur organisation comme un autre patient, en disant qu’ils devraient chercher des signes de maladie, traiter les symptômes, et agir rapidement si l’état du patient s’aggrave soudainement.

« Comme pour les soins médicaux, les premiers travaux visant à prévenir l’émergence de problèmes sont meilleurs et moins coûteux que d’agir une fois que le mal est fait. Dans la pratique, il s’agit d’obtenir les bases justes – mettre en place les politiques, les pratiques et les technologies qui protègent contre les menaces les plus courantes », dit-il.

« Tout comme nous avons tous dû porter des masques et nous laver les mains plus régulièrement, [best practice] donne aux organisations la meilleure chance d’éviter de contracter une infection malveillante méchant. Et, s’il y a un incident, alors la cyber-assurance pourrait être une bonne option. Le suivi que les bonnes politiques fournissent, à un coût, peut aider le nettoyage, l’analyse et le retour à la normale.

Lutter contre les hackers nonmpathétiques

Même si le lancement de cyberattaques contre une organisation est illégal et erroné, cibler l’industrie de la santé est moralement honteux.

Mais selon Sean Wright, chef de file de la sécurité des applications chez Immersive Labs, cela ne concerne pas la plupart des cybercriminels. Ils visent à faire de l’argent des victimes et savent que les établissements de santé sont plus susceptibles de payer des rançons.

« Malheureusement, de nombreux attaquants ont très peu de sympathie à l’égard de leurs cibles, donc tout ce qui leur permettra d’obtenir un avantage, généralement un gain financier, sera juste cueillettes pour eux, dit-il.

« Ceci est combiné avec le fait qu’ils n’ont pas à être témoins de l’une ou l’autre des conséquences horribles. Nous avons malheureusement vu une partie de ce jeu cette année, avec des attaques ransomware ciblant les hôpitaux.

Parce que les organisations de soins de santé concentrent une grande partie de leur temps et de leurs ressources sur la réponse à Covid-19, elles ont du mal à rester à l’avant-garde des menaces croissantes à la cybersécurité. La pandémie les a, à bien des égards, rendues plus vulnérables aux cyber-violations et une cible attrayante pour les pirates informatiques.

« Compte tenu des pressions accrues exercées par la pandémie actuelle, je pense que les centres médicaux , en particulier les hôpitaux, auront beaucoup de mal à suivre et à se protéger », dit M. Wright. « Sans compter qu’ils seront probablement confrontés à encore plus de limites autour des finances que le péage de Covid commence à s’accumuler. »

Mais malgré cela, il ya beaucoup de travail positif en cours pour protéger l’industrie de la santé contre l’augmentation de la cybercriminalité. « Heureusement, il y a de bonnes les choses se passent dans la communauté, avec quelques groupes de bénévoles a commencé dans le but d’aider les organisations de soins de santé. Des groupes comme Cyber Volunteers 19 qui ont fait un travail incroyable », dit Wright.

Si l’industrie de la santé veut conjurer la menace que représentent les cybercriminels, elle doit se concentrer sur la promotion de bonnes pratiques de sécurité et d’hygiène, ajoute-t-il.

« Assurez-vous que les systèmes sont rafistolés, qu’une surveillance appropriée est en place et qu’un antivirus approprié – qui est également régulièrement mis à jour afin que de nouveaux ensembles de règles puissent être téléchargés – soit mis en place », explique-t-il.

« Pour les systèmes qui ne peuvent pas être mis à jour, assurez-vous qu’ils sont suffisamment segmentés et, si possible, isolés dans leur propre réseau. Le plus important est peut-être la sensibilisation et la formation appropriées du personnel, et de s’assurer qu’il est conscient des risques et des attaques courants tels que le phishing.

Une pandémie de cybercriminalité

Depuis l’éclosion du coronavirus au début de 2020, toutes les sphères de l’industrie de la santé sont confrontées à une série de risques accrus en matière de cybersécurité.

Adam Enterkin, vice-président principal pour l’Europe, le Moyen-Orient et l’Afrique (EMEA) chez BlackBerry, déclare : « Des services hospitaliers trop étendus aux laboratoires de développement de vaccins, les organisations de soins de santé ont connu une augmentation des attaques au cours du Covid-19.

« L’urgence de cette crise a rendu la distribution de logiciels malveillants plus facile que jamais pour les cybercriminels qui cherchent à exploiter la nature critique des données médicales. Les e-mails d’hameçonnage ont capitalisé sur cette urgence, avec des lignes d’objet comprenant les résultats des tests et la disponibilité des EPI.

Les hôpitaux devant faire face à un nombre record de patients nécessitant des soins médicaux, la cybersécurité a pris une banquette arrière. « Dans le même temps, le NHS a été forcé de détourner les ressources de la cybersécurité pour donner la priorité aux soins immédiats aux patients », explique M. Enterkin. « Souvent, payer une rançon semble être la seule façon de le faire. La recherche de Blackberry a constaté que le paiement est le plus commun dans les soins de santé au-dessus d’autres industries.

L’urgence de cette crise a rendu la distribution de logiciels malveillants plus facile que jamais pour les cybercriminels qui cherchent à exploiter la nature critique des données médicales

Enterkin estime que les organisations de soins de santé sont particulièrement vulnérables à la cybercriminalité parce qu’elles n’ont pas d’équipes importantes et hautement qualifiées pour atténuer ces menaces. Mais il est d’avis qu’ils peuvent se protéger en investissant dans des technologies automatisées.

« L’automatisation est essentielle, et la technologie doit prendre le poids. Pour permettre aux professionnels de la santé de donner la priorité aux soins immédiats et aux cybermenaces toujours présentes, [artificial intelligence] et l’apprentissage automatique sont la solution, en raison de leurs capacités d’apprentissage continu et de la modélisation proactive des menaces qui gagne en sophistication au fil du temps », explique Enterkin.

« Par exemple, si un professionnel de la santé clique sur un lien suspect, des algorithmes de pointe et de l’intelligence artificielle peuvent intervenir de manière proactive pour les protéger, en prévenant les menaces comme les logiciels malveillants, les virus, les ransomware et les sites Web malveillants. »

Andrew Rogoyski, un expert technologique indépendant, souligne que la mise au point du vaccin contre le coronavirus a été un facteur de motivation majeur pour les pirates informatiques. « Il y a des facteurs politiques, économiques et sociétaux qui sont à l’origine de ces attaques – le coût de développement de nouveaux médicaments se mesure en milliards, nécessite un grand nombre de scientifiques hautement qualifiés et prend normalement des années d’investissement avant de mettre un nouveau médicament sur le marché », dit-il.

« Dans quelque chose d’aussi important qu’un vaccin contre covid-19, où les régimes peuvent tomber ou où les économies échouent sans vaccin, il peut être impératif de voler ou même de perturber les progrès d’un autre pays. »

Atténuer les cybermenaces dans le domaine des soins de santé

Bien que les organisations de soins de santé aient connu des risques sans précédent en matière de cybersécurité pendant la pandémie mondiale, il existe de nombreuses façons différentes d’y faire face efficacement.

Tamara Davis, PDG de Recon Secure Computing, déclare : « Infosec [information security] et les équipes de cybersécurité devraient élargir leurs profils de menace, accroître la vigilance du réseau de bord et imposer un ensemble plus élevé de restrictions sur les applications logicielles installées.

« L’accès aux périphériques de la maison, y compris l’IoT à domicile [internet of things] dispositifs, doivent être surveillés de près. L’objectif est d’abaisser le profil de menace pour les [virtual private network-connected] pour maximiser la sécurité de l’utilisateur tout en minimisant les perturbations de l’utilisateur. Avec un verrouillage Covid, vous avez besoin d’un verrouillage de cybersécurité.

Irfahn Khimji, directeur national du Canada chez Tripwire, croit que les organismes de soins de santé devraient éduquer toutes les parties prenantes aux nouveaux risques liés à la cybersécurité. « Alors que les pratiques de santé familiale ont commencé à prendre des rendez-vous virtuels pour des questions non urgentes, un nouveau vecteur d’attaque a surgi », dit-il.

« Les pratiques familiales qui n’avaient auparavant aucune infrastructure de style distant interagissent maintenant avec leurs patients par téléconférence, courriels et portails en ligne.

« Il est très important que l’industrie des soins de santé envisage d’éduquer et de sensibiliser les médecins, les infirmières, le personnel et les patients à diverses escroqueries par hameçonnage et à protéger leurs données sur les patients.

« Les pratiques plus petites n’ont souvent pas le budget nécessaire pour des programmes de sécurité à grande échelle, mais elles doivent être conscientes de la meilleure façon de protéger leurs patients et leur personnel contre ces vecteurs de menaces. »

Il est très important que l’industrie des soins de santé envisage d’éduquer et de sensibiliser les médecins, les infirmières, le personnel et les patients aux diverses escroqueries par hameçonnage.

La société de technologie médicale Q Doctor, qui a travaillé avec NHS England pour fournir des consultations virtuelles tout au long de la pandémie, prend une pléthore de mesures pour atténuer les menaces à la cybersécurité.

Chris Whittle, fondateur de l’entreprise, qui est également clinicien et anesthésiste, déclare : « Nous avons mis en place des systèmes robustes et testons régulièrement notre système pour nous assurer qu’il est sécurisé et protégé contre d’éventuelles cyberattaques. Ceci est effectué à la fois sur une base interne et externe, avec des tests de pénétration tiers.

« La cybersécurité est évaluée de plusieurs façons : avec les tests eux-mêmes; les cadres, accréditations et trousses d’outils dirigés par le NHS; la trousse d’outils sur la sécurité et la protection des données, où nous publions nos pratiques, et Cyber Essentials Plus, qui est une accréditation en matière de gouvernance de l’information que nous avons obtenue.

Nicola Whiting, directeur de la stratégie de Titania, affirme que les organisations de soins de santé ont des défis uniques à relever pour sécuriser les systèmes existants. « Par exemple, certains équipements essentiels peuvent nécessiter le fonctionnement de systèmes d’exploitation spécifiques. Cela crée des défis pour fournir des mises à jour de sécurité essentielles. L’essor de Covid-19 a vu une augmentation correspondante de ransomware et d’autres attaques qui cherchent à tirer parti des systèmes non patchés. »

Cependant, il y a plusieurs choses que les organisations de santé peuvent faire pour rester en sécurité. « Pour se protéger contre ces attaques, il faut une combinaison de formation des utilisateurs, afin de réduire l’efficacité du phishing et d’autres points d’entrée typiques des logiciels malveillants; l’évaluation des risques et la protection des systèmes critiques; et l’isolement pour les systèmes qui ne peuvent pas facilement être mis à jour ou protégés », dit Whiting.

« C’est un moment critique pour les professionnels de la sécurité du secteur de la santé, et notre industrie s’est mobilisée pour les soutenir », ajoute-t-elle.

Le secteur de la santé est depuis longtemps une cible de base pour les cybercriminels, bien que la pandémie de coronavirus l’ait rendu encore plus lucratif. Alors que les organisations de santé continuent d’être confrontées à des incidents de cybersécurité croissants en 2021, il est primordial qu’elles prêtent une attention particulière à ces questions urgentes et prennent des mesures rapides. Sinon, ils ne se mettent pas seulement en danger, mais aussi leurs patients.