Quels sont les points d’entrée des cyberattaques dans les établissements de santé ?
La santé est un secteur attractif pour la cybercriminalité, comme en témoignent les cyberattaques régulières dont les établissements de santé sont victimes. La digitalisation des établissements de santé et leur dépendance au numérique engendrent en effet une augmentation de leur exposition au risque cyber, notamment par une proportion de leur surface d’attaque toujours plus importante.
Zoom sur ces menaces émergentes qui touchent les établissements de santé.
Les établissements de santé, une cible privilégiée par les maliciels du fait de leurs multiples vulnérabilités
La proportion de la surface d’attaque des établissements de santé au risque cyber ne cesse de croître. Les contraintes structurelles touchant les établissements (réduction budgétaire, manque de personnel technique, augmentation des logiciels tiers) combinées à la porosité des zones OT (technologies opérationnelles) et IT (technologies de l’information), et à la nécessaire sensibilisation du personnel à la sécurité informatique, augmentent les chances de compromission.
De nouveaux malwares détectés dans les établissements de santé
Dès le mois d’octobre 2022, le CERT-Santé a détecté l’utilisation de nouveaux infostealers (littéralement des voleurs d’informations) contre des établissements de santé français. Ces maliciels sont conçus pour exfiltrer des identifiants, des mots de passe stockés par exemple dans les navigateurs Internet ou encore des codes d’authentification à facteurs multiples. Ces informations peuvent faciliter le déploiement d’autres maliciels – dont des rançongiciels – ou être utilisées dans un second temps pour exfiltrer des données de santé.
CERT Santé recense en moyenne 28 incidents malveillants par mois ciblant des établissements de santé depuis octobre 2022.
Un des points d’entrée des maliciels : la propagation via un tiers à l’établissement
Ce dispositif d’attaque peut par exemple toucher la chaîne d’approvisionnement de l’établissement.
Le Centre Hospitalier Sud Francilien aurait ainsi été touché : les attaquants auraient pu obtenir préalablement des identifiants d’authentification valides. Ces derniers leur auraient permis d’accéder au réseau privé virtuel (VPN) d’un prestataire externe éditant un logiciel de visualisation d’imagerie médicale interconnecté avec le système d’information hospitalier de l’hôpital. Ils auraient ainsi pu se propager sur le réseau et déclencher leur charge malveillante. L’écosystème dans son ensemble accroît ainsi la vulnérabilité d’un établissement de santé.
L’attaque par rebond : un point d’entrée potentiel pour un maliciel
Parce qu’ils peuvent mener des études cliniques, ou d’autres projets notamment en lien avec l’industrie pharmaceutique, les établissements de santé pourraient également être ciblés dans le cadre d’attaques plus larges visant des laboratoires pharmaceutiques, par exemple à des fins de cyberespionnage. De telles opérations n’ont pas été observées en France. Cependant, cette hypothèse ne peut être exclue car les attaquants peuvent cibler un système d’information plus vulnérable afin d’exploiter les liens de confiance préexistants entre ce système d’information et celui de leur cible finale, procédant ainsi à une attaque par rebond.
Certaines organisations cybercriminelles sont d’ores et déjà connues pour avoir ciblé directement et indirectement le secteur de la santé (prestataires de soins, industrie pharmaceutique, fournisseurs de solutions informatiques pour les soins de santé, fabricants d’équipements de santé) en profitant dès qu’il le pouvait des interconnexions entre ces cibles.
Une exposition accrue du fait de la vulnérabilité des systèmes d’information hospitaliers
Les fragilités des systèmes d’information hospitaliers (SIH) favorisent l’exposition des établissements face à la menace cyber. Plusieurs raisons expliquent l’augmentation de leur surface d’attaque :
- la multiplication des couches applicatives métiers qui rend les SIH complexes à maintenir à jour,
- l’interconnexion des SIH à d’autres systèmes d’information comme les organismes de sécurité sociale, les hébergeurs de données de santé ou d’autres établissements (GHT par exemple)…
- l’augmentation de la pratique de « shadow it », qui consiste à utiliser du matériel informatique personnel ou des logiciels sans l’accord de la sécurité informatique de l’établissement de santé.
Des programmes et appareils médicaux toujours plus connectés
Si l’IT (technologie de l’information) est régulièrement ciblée dans le cas d’attaques informatiques, d’autres dispositifs spécifiques des établissements de santé peuvent être exploités par les cyberattaquants.
C’est le cas notamment :
- des programmes informatiques de gestion technique des bâtiments ou gestion technique centralisée qui supervisent et pilotent en temps réel les fluides, le froid, l’aéraulique des blocs, ou encore les ascenseurs dans les bâtiments connectés.
- de la technologie opérationnelle médicale, système en interaction avec le processus du soin qui concourt au diagnostic, au traitement et au suivi du patient. Les objets qui composent ce système sont toujours plus nombreux et plus connectés.
- De l’internet des objets (IoT): réseau d’appareils physiques équipés de logiciels et de capteurs spéciaux qui leur permet de collecter et retransmettre des informations.
Exemple d’IoT médicaux : les moniteurs de surveillance médicale en périopératoire ou les appareils de gestion des médicaments contre la douleur, lorsque les patients sont de retour au domicile, représentent des sources de données de santé. Ils sont exposés directement aux menaces et constituent des points d’entrée sur des passerelles de l’établissement.
On comprendra aisément que l’indisponibilité de ces programmes ou dispositifs connectés impacte immédiatement la continuité des soins et peut en conséquence générer des risques sur la sécurité des patients.
C’est ce que révèle l’étude « Menaces et risques cyber pesant sur les établissements de santé en France » menée en juin 2023 conjointement par Citalid (jeune start-up française spécialisée dans la cybersécurité) et nos experts Relyens. Ils nous livrent une analyse du risque cyber et de ses impacts pour le secteur de la santé, avec exemples à l’appui.
Pour en savoir plus sur les menaces actuelles, les pratiques des cybercriminels, les enjeux des établissements de santé face au risque cyber :
Consultez l'ebook