Retour au blog
Cybersécurité Analyse de risque
Publié le 10 mars 2022 Modifié le 14 juin 2023
Auteurs
  • VHMN – user icon
    Les experts Relyens
Temps de lecture : 5 minutes

Quels sont les types de cyberattaques au sein des établissements de santé ?

La majorité des actes malveillants ont pour visée l’enrichissement des pirates informatiques. Auparavant, les ressources et les moyens utilisés étaient simples : schématiquement, un ordinateur, un hacker et ses compétences informatiques. Les techniques n’ont pas tellement changé, en revanche 2022 constitue un tournant dans leur automatisation et leur organisation. Devenus des affaires à part entière, les rançongiciels se commercialisent sur le Dark Web. Au point de « peser » considérablement dans une économie qui devient parallèle.

La « nouveauté » tient au fait que les hackers pratiquent la double extorsion, en proposant de délivrer les clés des données qu’ils ont chiffrées si la rançon est réglée, et menacent par ailleurs d’exposer publiquement les informations en question. Les experts ne sont pas très optimistes quant à la pérennisation de ce modèle économique, à l’heure où les moyens techniques sont en pleine expansion, dont l’intelligence artificielle qui offre de plus en plus de possibilités.

L’erreur utilisateur

Les moyens utilisés sont très variés. En définitive, les cyberattaques commencent souvent par une erreur d’utilisateur, qui ouvre une brèche aux pirates, soit par méconnaissance de l’informatique, soit en adoptant des comportements contraires au maintien de la sécurité du réseau. « Certains hackers n’hésitent pas à laisser des clés USB malveillantes sur les parkings d’un établissement visé par une attaque. À votre avis, combien de temps faudra-t-il pour qu’un des employés connecte l’une de ces clés USB au réseau et qu’il l’infecte à son insu ? Même si cela part d’un bon sentiment, pour retrouver l’auteur et lui restituer, ou tout simplement pour effacer le contenu et s’en servir, le mal est déjà fait », alerte Pierre, hacker à chapeau blanc qui travaille pour le compte d’une entreprise spécialisée dans la cybersécurité. Il évoque par ailleurs le recours à des câbles de charge qui ressemblent à s’y méprendre à des câbles classiques, mais qui contiennent des micro-ordinateurs. Une fois connectés, les hackers peuvent prendre le contrôle du réseau. Ses recommandations sont sans appel : il ne faut pas brancher ce qui a été trouvé par terre. Certains e-mails peuvent être troublants, supposément envoyés depuis la messagerie du destinataire, alors qu’il s’agit en réalité d’un leurre.

Beaucoup plus fourbe, certains hackers n’hésitent pas à se faire passer pour des techniciens en intervention au sein de l’établissement, par exemple pour l’entretien des photocopieurs. Une fois rentrés dans les établissements, il leur suffit de brancher directement du matériel malveillant au réseau par le biais d’implants et de câbles Ethernet, ou tout simplement par l’électricité. C’est pourquoi il est essentiel de vérifier l’identité et la présence justifiée de toute personne étrangère aux services. De même, l’ensemble du réseau doit être régulièrement vérifié.

Le phishing / usurpation d’identité

Le phishing (ou hameçonnage) consiste à obtenir des informations et renseignements personnels pour usurper l’identité de la victime, par le biais de faux e-mails. Le spear phishing est une autre sorte de phishing. Ce dernier vise un groupe, une entreprise ou une institution en particulier. Ces attaques restent en tête des cyberattaques les plus répandues. En effet, 79% des entreprises françaises ont signalé avoir été victimes d’hameçonnage selon le fournisseur de données Statista. Toujours selon ce site, un utilisateur sur trois ouvre les e-mails de phishing, ce qui explique son succès – et ses ravages.

Le déni de Service

En anglais Denial of Service (DoS) cette attaque a pour objectif d’interrompre les communications internes et externes d’une structure par un envoi massif de requêtes destinées à saturer les systèmes frontaux. Si le réseau est saturé, l’ensemble des appareils, machines et objets connectés qui en dépendent seront directement affectés, jusqu’à leur arrêt total. L’attaque par DDoS (Distributed denial of service) est réalisée selon le même principe, mais à partir de plusieurs sources. Dans le cas présent, les hackers utilisent plusieurs machines dont ils ont le contrôle, appelés « ordinateurs zombies » (botnet), ce qui permet de brouiller les pistes puisqu’il peut y en avoir plusieurs milliers. Les propriétaires de ces ordinateurs ignorent qu’ils sont infectés. Ces attaques sont plus difficiles à bloquer du fait de la multiplicité des sources agissant simultanément.

Le crypto-locker

Le CryptoLocker est un logiciel malveillant (virus) utilisé dans le cas des demandes de rançons informatiques. Son fonctionnement est simple : il chiffre les données de tous les serveurs et machines infectés. Il reste réversible, n’est pas destructif mais peut être très pénalisant tant que la rançon n’a pas été payée. C’est pour cette raison qu’il est conseillé de réaliser des sauvegardes (backs-up) régulières, hors ligne. En cas d’attaque, l’ensemble des fichiers et données pourront être facilement restaurés de la sorte.

Le rançonnage

Parmi les multiples visages de la cybercriminalité, les infractions prenant la forme de tentatives d’extorsion sont, à l’heure actuelle, les exactions les plus répandues.
On parle de rançongiciels ou de ransomware, il s’agit d’un logiciel malveillant qui agit par contamination de postes de travail, serveurs ou équipements informatiques dans le but de provoquer une paralysie progressive du système d’informations dû à l’indisponibilité progressive des données.
Et c’est à ce moment-là que la demande de rançon entre en jeu. Le moyen de pression est fort, l’activité est diminuée voir arrêtée, la sécurité des patients est menacée et le personnel se retrouve en situation de crise.

Sur le même sujet

Toutes les publications