Nouvelle initiative du HHS pour renforcer la cybersécurité dans le secteur de la santé

Lorsque la récente cyberattaque contre Change Healthcare, une filiale d’UnitedHealth, a été découverte il y a quelques mois, elle a suscité un certain nombre de réactions.

Dernièrement, le sénateur Gary Peters (membre du Parti démocrate du Michigan), qui préside la commission sénatoriale de la Sécurité intérieure et des Affaires gouvernementales, a envoyé un courrier au ministère de la Santé et des Services sociaux (HHS) pour lui demander quelles mesures il comptait prendre pour que ce type de catastrophe n’arrive plus jamais.

Créer un guichet unique

En réponse, l’Administration for Strategic Preparedness and Response (ASPR) du HHS a annoncé une initiative de grande envergure visant à mieux organiser ses nombreux programmes et ressources de cybersécurité afin que les organisations de santé puissent y accéder et les mettre en œuvre plus facilement. L’objectif est de créer un portail unifié ou un guichet unique.

En outre, l’ASPR a indiqué qu’elle s’efforcerait de créer et de publier de nouvelles stratégies de cybersécurité, de meilleures pratiques et de nouvelles ressources spécifiques au secteur de la santé.

S’il s’agit bien sûr d’une bonne nouvelle qui devrait permettre aux organismes de santé d’obtenir plus facilement les informations et les conseils dont ils ont besoin pour moderniser leur cybersécurité, la question est de savoir s’ils feront réellement usage de ce nouveau centre de ressources.

Tout d’abord, les mauvaises nouvelles

Le 1er mai, le PDG d’UnitedHealth, Andrew Witty, témoignait devant la commission des finances du Sénat à propos de la cyberattaque dévastatrice contre Change Healthcare de UnitedHealth.

Au cours de l’audience, Andrew Witty a déclaré que le serveur utilisé par le groupe de ransomware BlackCat pour pénétrer le réseau était dépourvu d’authentification multifacteur (MFA). Il a indiqué que son équipe cherchait encore à comprendre pourquoi cette mesure de sécurité très élémentaire n’avait pas été mise en place.

Alors réfléchissons à ce que cela signifie. Tous ceux qui s’intéressent à la cybersécurité savent qu’en raison de l’explosion d’attaques de phishing de plus en plus sophistiquées ces dernières années, il faut partir du principe que de simples identifiants (noms d’utilisateur et mots de passe) ont été volés, rassemblés et vendus sur le Dark Web. Par conséquent, tout ce qui est protégé par des identifiants de base doit être considéré comme extrêmement vulnérable.

La MFA est le moins que l’on puisse faire pour contrôler efficacement les accès. Surtout, pour une entreprise qui détient des volumes de données personnelles aussi importants que Change Healthcare, même la MFA n’est pas suffisante aujourd’hui. Ils auraient vraiment dû être parmi les premiers à passer aux contrôles d’accès Zero Trust et à une architecture Zero Trust complète.

Comment peut-on expliquer une telle défaillance des systèmes de sécurité de base ? À tout le moins, cela relève d’un certain degré de négligence et d’un manque de priorités en matière de sécurité. De fait, le secteur de la santé dans son ensemble a été plus lent que d’autres à adopter des mesures de sécurité modernes, ce que les cyber-escrocs savent parfaitement et dont ils profitent pleinement.

Je me pose donc la question suivante : dans quelle mesure un guichet unique de ressources sur la cybersécurité dans le secteur de la santé, hébergé par le ministère de la santé et des services sociaux, peut-il améliorer les choses ? Ce qui importe véritablement, c’est que les organismes de santé soient motivés à rechercher ces ressources et à les utiliser, c’est-à-dire à investir de l’argent dans la modernisation de la sécurité et l’adoption des bonnes pratiques.

Une petite bonne nouvelle

Comme nous l’avons indiqué dans ce récent article de blog, le rapport sur les violations du premier trimestre 2024 publié par l’Identity Theft Resource Center contenait des conclusions potentiellement encourageantes concernant la cybersécurité et le secteur de la santé.

« Pour la première fois depuis des années, le secteur de la santé n’est pas celui qui a enregistré le plus grand nombre de compromissions, laissant la première place aux services financiers. Les deux secteurs ont connu des hausses significatives au cours du premier trimestre 2023. Cependant, le bond de 81 à 124 compromissions dans le secteur de la santé est bien inférieur à l’augmentation globale de près de 90 %, alors que les services financiers sont passés de 70 à 224 incidents, soit une hausse considérable. »

Alors peut-être qu’après des années de cyberattaques avec des cliniques et des hôpitaux entiers à l’arrêt à cause des ransomwares et leur avoir répété encore et encore qu’ils étaient la cible n° 1 des gangs de cybercriminels, le secteur de la santé prend-il enfin au sérieux l’ampleur du problème.

Du moins, nous l’espérons tous.