Notre système hospitalier serait-il prêt à faire face aux cyberattaques massives que subit le Costa-Rica ?

80 %
80% des organisations d'infrastructures critiques ont subi une attaque
par ransomware en 2021.

Confronté à une vague de cyberattaques sans précédent, le Costa-Rica a annoncé en mai dernier entrer en guerre contre les cybercriminels et cyberterroristes.

En première ligne du conflit, le groupe Conti (supposé proche du gouvernement russe) menace de renverser le pays au moyen d’une cyberattaque si le Gouvernement refuse de payer une rançon de 20 millions de dollars. Le mardi 31 mai, une nouvelle cyberattaque utilisant le ransomware-as-a-service HIVE (le groupe HIVE semblant avoir noué des alliances avec des membres de Conti) a ciblé le service national de santé du Costa-Rica, renforçant encore la pression sur le Gouvernement et les services critiques du pays. 

Cibler les infrastructures les plus critiques pour rendre la pression intenable

L'attaque du ransomware Hive contre le service de santé du Costa Rica démontre une nouvelle fois l’absence totale de sens moral des cybercriminels. Les hôpitaux sont de plus en plus connectés et dépendants au numérique, et dans ce contexte les ransomwares peuvent tout simplement mettre à l’arrêt des activités vitales et mettre des vies en danger. Et c’est exactement ce que cherchent les criminels : mettre les décideurs dans une situation moralement impossible afin qu'ils n'aient d'autre choix que de payer des rançons pour remettre leurs services en marche… Problème, payer les rançons alimente la machine et c’est ce qui explique la croissance exponentielle des attaques. En 2021, nous avons observé que 80 % des organisations d'infrastructures critiques ont subi une attaque par ransomware, et que 62 % ont payé la rançon !

De plus en plus dépendant au numérique, le secteur hospitalier est devenu une cible de choix

En France, l’Agence du numérique en santé (ANS) a déploré 730 incidents en 2021 contre des établissements de santé, soit deux fois plus qu’en 2020 !

L'une des principales raisons de cette situation est due à l’utilisation croissante d'appareils connectés au sein des établissements, ce que nous appelons l'Internet des objets médicaux (IoMT). De nombreux appareils IoMT présentent des vulnérabilités critiques difficiles à corriger, ce qui en fait des rampes de lancement parfaites pour le déploiement de cyberattaques. De plus, comme il n'y a généralement pas de segmentation en place, les logiciels malveillants ont la liberté de se déplacer latéralement sur le réseau et de cibler les ordinateurs des employés aussi bien que des systèmes vitaux.

Il est donc crucial que les établissements de santé commencent à mettre en œuvre un certain nombre de politiques de sécurité pour empêcher ces attaques aux conséquences potentielles gravissimes de se produire. Comment ? Tout d’abord, il est essentiel que les établissements de santé aient une connaissance approfondie de tous les appareils présents sur leur réseau. Grâce à cette connaissance, cet inventaire, les équipes de sécurité peuvent ensuite classer par ordre de priorité les machines, les dispositifs et les processus critiques, et commencer à appliquer des correctifs lorsque cela est nécessaire et possible ou à mettre en œuvre des contrôles de sécurité tels que des règles de pare-feu.

Enfin, il est fondamental que les réseaux soient segmentés afin de restreindre la connectivité inutile, ce qui, en fin de compte, limite le mouvement des logiciels malveillants et atténue l'impact de ces attaques. 

Les attaques contre le secteur de la santé ne montrant aucun signe de ralentissement, il est plus important que jamais que les établissements sécurisent correctement leurs réseaux

La France a mis en place une stratégie nationale de cybersécurité des établissements de santé, qui a été présentée en février 2021, avec un investissement financier de 350 millions d’euros  au travers du Ségur de la santé. Plusieurs axes sont privilégiés : la réalisation d’audit de cybersécurité des établissements de santé et médicaux-sociaux, le déploiement d’un service national de cyber surveillance en santé, en partenariat avec l’ANS, beaucoup de sensibilisation à la cyber dans les cursus de formation des acteurs en santé pour développer une hygiène numérique, etc. Les organismes recevant des aides seront également incités à allouer une partie de leur budget informatique à la cybersécurité, à hauteur de 5 à 10%. Enfin, l’État a élargi le nombre d’établissements intégrés à la liste des opérateurs de services essentiels qui seront soumis à des règles et à un contrôle strict par l’ANSSI.

Est-ce que tout cela suffira ? Pour les établissements les plus surveillés, la protection sera indéniablement meilleure mais l’hôpital comme les usines continue de se transformer numériquement, et cela génère toujours plus de vulnérabilités. Ces réseaux comportent des composants très différents, de bureautique d’un côté, opérationnels de l’autre (OT/Technologies opérationnelles), de nouveaux systèmes à intégrer, des dispositifs IoT, de la robotique, et très prochainement une connectivité 5G qui va amener beaucoup d’évolutions… Aujourd’hui peu d’établissements sont en mesure d’assurer la sécurité de tout ce périmètre numérique.

Les attaquants vont toujours cibler les proies les plus faibles. Si le niveau de cybersécurité des grands établissements augmente, le risque est également qu’ils aillent cibler des établissements plus petits et plus vulnérables. Il y en a beaucoup.

La situation du Costa-Rica est un rappel à l’ordre pour que nous continuions de progresser en matière de cybersécurité, d’investir certes mais de mettre en place une réponse adaptée, au niveau humain avec de la formation et le recours à des experts, et technologique avec des solutions adaptées aux différentes infrastructures, aux usages traditionnels du numérique et aux nouveaux, aux nouvelles menaces et méthodes d’attaquants. Souvent une bonne hygiène de sécurité commence par une bonne analyse de l’existant, de ses vulnérabilités, et une bonne visibilité sur son réseau.

Emmanuel Le Bohec

Directeur France de Claroty, spécialiste de la sécurité des systèmes cyberphysiques dans les environnements industriels (OT), de santé (IoMT) et d'entreprise (IoT).