Sécurisation des appareils connectés à Internet dans le secteur de la santé

Thèmes: Mois de la sensibilisation à la cybersécurité aux États-Unis et mois de la cybersécurité en Europe

20 oct. 2020

Octobre est le mois de la sensibilisation à la cybersécurité (Cybersecurity Awareness Month), qui est une initiative mondiale de sensibilisation à la cybersécurité et à la protection des activités en ligne. Vous pouvez lire nos deux premiers articles de blogs rédigés dans le cadre du mois de la sensibilisation à la cybersécurité ici :

Semaine 1 : tout appareil connecté doit être protégé

Semaine 2 : protéger ses appareils chez soi et sur son lieu de travail

Cette semaine, le sujet choisi dans le cadre du mois de la sensibilisation à la cybersécurité est le suivant : « Protéger les appareils connectés à Internet dans le secteur de la santé ». Le manque de protection des systèmes est un problème qui touche tous les aspects du secteur, des sociétés d'assurance aux systèmes de diagnostic et aux dossiers des patients. Voici quelques exemples fréquents :

La perturbation des opérations : cela fait trois ans que WannaCry s'est diffusé à travers le monde, dans une attaque majeure qui a anéanti près de 200 000 appareils en quelques jours. Environ un tiers des organismes de sécurité sociale du Royaume-Uni ont été touchés, ce qui a retardé les soins de santé pour quelque 19 000 patients. Microsoft a publié le correctif MS17-010 pour limiter les conséquences de ce ransomware, mais après 2019, WannaCry attaquait encore environ 3 500 systèmes par heure.

Les ransomwares ont franchi un nouveau cap cette année lorsqu'une attaque visant l'hôpital universitaire de Düsseldorf en Allemagne a entraîné un retard de soins qui a conduit à la mort d'un patient. Cet incident est toujours en cours d'enquête. Parmi les autres attaques récentes, citons l'interruption d'essais cliniques liés à des tests et des traitements dans le cadre du COVID-19, ainsi que le verrouillage de plusieurs systèmes dans une grande chaîne d'hôpitaux.

Le vol de données : de nombreux gouvernements se fixent des objectifs élevées en matière de confidentialité des patients et de protection des données, et à juste titre. Les dossiers médicaux peuvent être utilisés dans le cadre d'un vol d'identité ou d'autres types d'escroquerie. Les échos sur le prix de revente d'un dossier médical complet sont variables, mais il faudrait compter environ 100 dollars par dossier complet, et des dizaines de milliers de dollars pour une base de données. Le Journal de l'HIPAA remonte que près de 231 millions de dossiers médicaux ont été violés en 2019. Les dossiers médicaux de certaines personnes sont descendus à environ 1 dollar chacun suite à toutes ces données volées qui se sont retrouvées sur le dark Web.

Les informations personnelles d'un médecin sont beaucoup plus précieuses que celles d'un patient. Les licences médicales, les licences de l'Administration de répression des narcotiques américaine et d'autres documents peuvent permettre à un criminel de falsifier des prescriptions et de déposer des demandes de prestations d'assurance frauduleuses. Ce type de données se vend pour environ 500 dollars sur le dark Web, bien que ces prix soient toujours en train de fluctuer.

La falsification de dossiers : une pratique vraiment terrifiante. En Israël, des chercheurs ont développé des malwares qui peuvent modifier les résultats des tests diagnostiques. Dans une étude à l'aveugle utilisant de vrais scans pulmonaires effectués par tomodensitométrie, qui comportaient des nodules cancéreux ajoutés à l'image par un malware, les radiologues ont diagnostiqué un cancer 99 % du temps. Le même test a également été mené en utilisant un malware pour éliminer les nodules cancéreux réels de scans réels, et les radiologues ont diagnostiqué les patients comme sains 94 % du temps. Le but de ce test était de montrer qu'une protection insuffisante des systèmes hospitaliers peut avoir des conséquences à l'échelle mondiale si jamais un leader mondial était mal diagnostiqué.

Pourquoi le secteur de la santé est-il visé ?

Le secteur de la santé constitue une cible de grande valeur car les données présentes sont d'une grande importance pour les parties prenantes. Hancock Health a payé 55 000 dollars pour débloquer ses systèmes après une attaque menée en août. Hackensack Meridian Health a payé une rançon pour déverrouiller ses systèmes après une coupure de cinq jours ayant entraîné le report d'au moins 100 interventions chirurgicales. Certains systèmes de santé ont refusé de payer une rançon, préférant se remettre sur pied par eux-mêmes.

Outre la valeur des données, certains problèmes fondamentaux existant dans les systèmes de santé en font une cible de choix.

Des équipements dépassés et personnalisés : le secteur de la santé utilise des équipements peu courants ayant leurs propres systèmes d'exploitation intégrés. Les scanners IRM, les bras robotiques et autres équipements coûteux peuvent rester en service même une fois qu'ils sont dépassés. Pour certaines entreprises, il est tout simplement trop coûteux de remplacer ces systèmes s'ils fonctionnent, mais ils ne peuvent pas non plus être réparés aussi facilement qu'un appareil moderne. Un autre problème est que même les appareils modernes bénéficiant d'une assistance continue peuvent devoir attendre des mises à jour de sécurité logicielle parce que ces appareils utilisent un logiciel sur mesure. Les mises à jour de ce code ne sont pas immédiatement disponibles.

Une mauvaise gestion informatique : tout ce qui se trouve dans et autour d'un hôpital constitue un point d'exposition potentiel. Les systèmes qui ne sont pas correctement inventoriés peuvent être négligés et compromis. Il ne s'agit pas seulement des postes de travail et des équipements médicaux : les systèmes HVAC et les dispositifs de sécurité sont également des points d'entrée potentiels. Les équipes informatiques doivent savoir quels appareils sont connectés, quelles communications numériques sont nécessaires pour le bon déroulement du travail et lesquelles il faut bloquer. C'est difficile à faire dans un environnement qui est encore en train de passer de ses systèmes papier d'origine à des nouveaux systèmes numériques qui établissent la norme en matière de soins de santé modernes.

Une focalisation excessive sur la conformité : les soins de santé étant soumis à la réglementation sur la protection de la vie privée des patients et à des sanctions sévères en cas de violation, les équipes de sécurité informatique n'ont pas toujours accordé la priorité à la sécurité des systèmes qui ne sont pas soumis à cette réglementation. Sans une gestion informatique complète, les postes de travail des dispositifs médicaux pourraient avoir des connexions à Internet inutiles, ou des dispositifs équipés d'Alexa pourraient se trouver dans des environnements sensibles. Il est facile de passer à côté de telles questions lorsque la conformité est l'objectif principal d'une équipe.

Le secteur connaît une croissance rapide et il est encore au début de sa transformation numérique et de son évolution en matière de cybersécurité. La sensibilisation a été un facteur clé pour faire progresser le secteur en la matière.

Pour de plus amples informations sur les solutions de Barracuda pour le secteur de la santé, cliquez ici pour vous rendre sur notre site Web.

Christine Barry

Christine Barry is Senior Chief Blogger and Social Media Manager at Barracuda. Prior to joining Barracuda, Christine was a field engineer and project manager for K12 and SMB clients for over 15 years. She holds several technology and project management credentials, a Bachelor of Arts, and a Master of Business Administration. She is a graduate of the University of Michigan.

Connect with Christine on LinkedIn here.