WannaCry, quatre ans sur : Les soins de santé ont-ils appris ses leçons ?

Version imprimable, PDF et e-mail

Lorsque WannaCry a frappé en mai 2017, il s'agissait de la première attaque mondiale de masse réalisée par un ransomware de ce type. Elle fit les gros titres des journaux et obligea les entreprises à réagir en catastrophe. Même si un chercheur britannique permit de sauver la situation en fournissant rapidement un mécanisme de blocage de la propagation du ver, le National Health Service (NHS) du Royaume-Uni fut l'une des nombreuses organisations à subir des dommages importants.

Il est légitime de se demander aujourd'hui quelles mesures sont mises en place afin d'atténuer l'impact si un événement similaire devait se reproduire, et de se demander si les ransomwares sont désormais encore plus dangereux.

Perturbation massive

Imputé par la suite à une tentative, parrainée par un état, de monétiser les infections massives par ransomware, WannaCry s'est propagé en exploitant une faille dans une ancienne implémentation Windows du protocole SMB (Server Message Block), SMBv1. La vulnérabilité avait été corrigée en mars 2017 par Microsoft, mais au moment de l'attaque, de nombreuses entreprises n'avaient pas encore appliqué ce correctif pourtant essentiel. Au total, la menace aurait infecté près d'un demi-million d'ordinateurs dans le monde entier, bien qu'elle n'ait rapporté à ses créateurs qu'un montant estimé à 100 000 $.

Dans une analyse post-incident, le National Audit Office (NAO) a affirmé que WannaCry avait touché un tiers (34 %) des organismes de sécurité sociale du National Health Service (NHS) britannique, infectant 603 autres entreprises de soins médicaux primaires du NHS. Selon les estimations, 19 000 rendez-vous et opérations ont été annulés et, dans cinq régions, les patients ont été contraints à des déplacements plus longs pour se rendre aux urgences.

Le National Audit Office (NAO) a constaté que les processus de sécurité informatique des services de santé présentaient des lacunes dans plusieurs domaines. Il a précisé que NHS Digital avait émis des alertes critiques en mars et avril 2017, invitant à combler les lacunes qui ont finalement été exposées par WannaCry. Cependant, à l'époque, le département de la Santé ne disposait d'« aucun mécanisme formel » permettant de déterminer si les organismes de sécurité sociale avaient suivi ou non les recommandations. En outre, bien que le département avait déjà élaboré un plan de réponse aux cyberincidents, celui-ci n'avait pas été testé au niveau local.

En fin de compte, l'incident aura coûté au NHS un montant estimé à 92 millions de livres, dont la grande majorité (72 millions) provient des heures supplémentaires réalisées par les services informatiques.

WannaCry a touché un tiers (34 %) des organismes de sécurité sociale du NHS britannique, infectant 603 autres entreprises de soins médicaux primaires du NHS.Cliquez pour tweeter

Leçons apprises

Fait étonnant, WannaCry est toujours en circulation aujourd'hui, quatre ans après avoir causé une panique mondiale. En mars, des chercheurs ont constaté que le malware avait touché 53 % d'entreprises de plus qu'au début de l'année. Une autre étude a révélé que 67 % des entreprises exécutent toujours le protocole SMBv1 non sécurisé.

Cependant, les choses semblent aller beaucoup mieux pour le NHS, après s'être lancé dans ce que le responsable de la sécurité informatique de NHS Digital, Dan Pearce, a décrit comme « l'un des programmes de cybersécurité les plus ambitieux et les plus agressifs jamais vus dans un système de santé et de soins dans le monde ». Ce programme comprenait la mise en place des mesures suivantes :

  • Un centre opérationnel de cybersécurité, qui bloquerait chaque mois environ 21 millions d'incidents liés à des activités malveillantes.
  • Un réseau de « cyber-associés », qui sont chargés de la cybersécurité au sein du NHS.
  • Un outil Data Security and Protection Toolkit (DSPT), qui évalue les entreprises du NHS en fonction de 10 normes nationales de sécurité des données.
  • Des responsables régionaux pour faciliter la mise en œuvre d'un système de cybersécurité au niveau local.
  • Des licences pour permettre à toutes les unités du NHS de passer à Windows 10 et d'ainsi bénéficier d'une meilleure protection anti-malware intégrée. Cela permet de protéger les points de terminaison sur 1,3 millions d'appareils connectés et d'obtenir une meilleure visibilité sur les menaces et les vulnérabilités au niveau national.
  • Une frontière sécurisée NHS, composée de pare-feux Web Application Firewall nouvelle génération conçus pour protéger les entreprises du NHS contre les menaces les plus sophistiquées.

Le nouveau visage des ransomwares

Malgré la mise en lumière et les dommages causés, WannaCry était une attaque relativement peu sophistiquée. Aujourd'hui, les organismes de santé au Royaume-Uni et dans le monde sont confrontés à un adversaire beaucoup plus déterminé et professionnel. Le modèle de ransomware-as-a-service (RaaS) a considérablement facilité les opérations d'intrusion, de sorte que plusieurs groupes affiliés peuvent utiliser une seule variante de ransomware.

Pendant la pandémie, les organismes de santé en Europe et aux États-Unis ont été la cible d'attaques, les cybercriminels exploitant le fait que ces organismes avaient détourné leur attention de la sécurité pendant la crise et qu'ils seraient prêts à tout pour remettre en ligne les services interrompus. Ces attaques prennent de plus en plus la forme de campagnes APT en plusieurs étapes, qui peuvent commencer par un e-mail dephishing, une compromission du RDP à l'aide d'identifiants dérobés ou piratés, ou une vulnérabilité exploitée. Des outils légitimes et des techniques de type « living off the land » (technique hors sol) sont ensuite utilisés pour permettre des mouvements latéraux sans déclencher d'alertes. Les données sont souvent volées pour augmenter les chances d'obtenir un paiement.

Le NHS a peut-être tiré les leçons de la pandémie, mais aucun organisme de santé n'est à l'abri des ransomwares modernes. Il existe tout simplement trop de groupes motivés financièrement représentant une possible menace. Parmi les recommandations en matière de bonnes pratiques, citons :

  • Une formation à la protection des e-mails et à la lutte contre le phishing pour aider le personnel à mieux repérer les e-mails suspects.
  • La mise en œuvre d'une solution de sécurité des applications pour protéger les applications Web vulnérables.
  • La réalisation de sauvegardes selon la règle 3-2-1.
  • La mise en place de défenses multicouches (e-mail, réseau, application Web, point de terminaison, serveur, etc) afin de bloquer les malwares.
  • L'authentification multifacteur (MFA) pour tous les comptes, notamment RDP.
  • La segmentation du réseau pour réduire les risques de mouvements latéraux.
  • La restriction des contrôles d'accès selon le principe de moindre privilège à l'aide d'un accès zero trust.
  • L'application rapide de correctifs aux systèmes à haut risque (avec analyses de vulnérabilité régulières).
  • L'utilisation de pare-feux nouvelle génération et d'une solution de détection au niveau de la couche réseau pour contrôler les mouvements latéraux.
  • La désactivation du RDP et de tout autre port non utilisé.

Il n'y aura peut-être jamais de nouvel épisode WannaCry. En attendant, les organismes de santé publique doivent être attentifs à la nature évolutive de la menace que représentent les ransomwares et réagir de manière proactive.

 

Remonter en haut de page
Tweeter
Partager
Partager