Par Geoffroy de Lavenne, Directeur Général d’ITS Integra
L’ANSSI vient de publier son rapport sur l’état de la menace informatique sur le secteur de la Santé. Il devrait être une lecture obligatoire pour les DSI, RSSI et autres dirigeants d’entreprises et structures du secteur.
Qui est concerné par ce rapport de l’ANSSI ?
L’ANSSI précise que les acteurs concernés sont très hétérogènes et distingue plusieurs catégories : « allant des acteurs liés à la gestion du système de santé, aux prestataires de soins, en passant par les industriels de produits de santé et les fournisseurs et prestataires pour le secteur de la santé. » Dans chacune de ces catégories, on retrouve divers acteurs. Par exemple, des prestataires de soin : établissements publics et privés, médico-sociaux, structures d’urgence, les libéraux, les pharmacies d’officine, les laboratoires d’analyse médicale et centres d’imageries. Ça en fait du monde !
Un secteur plus ciblé ?
Non, le secteur de la Santé n’est pas plus ciblé que d’autres, et il « n’apparait pas être une cible spécifique des opérateurs de rançongiciels, qui semblent majoritairement agir de manière opportuniste contre des entités vulnérables de toute nature. » En revanche, la surface d’attaque est importante et s’élargit avec la numérisation et les interdépendances. Aussi, le niveau de protection varie très fortement, ce qui rend les acteurs les plus exposés particulièrement vulnérables.
Quelles sont les menaces réelles ?
Les attaques les plus courantes, et très médiatisées, restent les rançongiciels notamment à des fins d’extorsion. Sont ciblés soit les établissements de soins directement ou encore des prestataires en amont ou aval (plateformes SaaS, services de paiement, etc.). Ensuite, vient l’exfiltration de données (souvent intégrée dans l’attaque Ransomware) à des fins de revente, puisqu’on parle ici de données particulièrement sensibles – médicales et personnelles. Les moyens d’exploitation malveillante sont légions sur le darknet. Des compromissions à des fins de fraude sont également courantes, ayant notamment pour objectif l’usurpation d’identité. La menace à finalité d’espionnage économique ou étatique est aussi une réalité, généralement pour mener d’autres opérations offensives par la suite. Enfin, les attaques ayant pour objectif la déstabilisation constituent une autre menace, perpétrée aussi bien par des acteurs étatiques (sabotage, désinformation) que des militants (divulgation publique)
Que faire ?
L’ANSSI dans son rapport ne se contente pas de simplement constater. Elle propose ici ses recommandations pour atténuer le risque d’attaques et les retombées en cas de succès.
Il y en a 19 dont certaines se basent sur d’autres publications de l’agence d’Etat.
Les mesures portent sur les thématiques suivantes :
- la sécurité des ressources humaines ;
- la gestion des risques ;
- l’acquisition, le développement et la maintenance ;
- l’architecture ;
- la gestion des identités et des accès ;
- la gestion des vulnérabilités ;
- la journalisation et détection de sécurité ;
- la résilience du système d’information.
Certains acteurs sont totalement capables de les appliquer et d’assurer la continuité dans le temps, d’autres sont tout simplement… perdus. En effet, nous le constatons très régulièrement quand nous discutons avec les clients soumis à l’Hébergement de Données de Santé. Protéger correctement son SI peut être complexe, cher, long à mettre en place et difficile à suivre dans le temps. Agir aussi bien sur la sensibilisation des utilisateurs que sur l’architecture, sur la gestion des identités que sur le dispositif de gestion de crise, fait appel à de fortes compétences à la fois techniques et organisationnelles. Tous les acteurs ne disposent pas d’un vivier de sachants au sein de leurs équipes qui sauront piloter la stratégie de sécurisation dans ses moindres détails.
Le rôle du MSSP
Face à ces défis insurmontables pour certains acteurs, il est urgent de se faire accompagner par un MSSP spécialisé et certifié HDS. Les briques technologiques et de services permettant d’être en conformité sont prêts à l’usage et adaptés aux acteurs du secteur. Vous bénéficierez ainsi d’une protection optimale qui peut être construite dans le temps, en commençant par les mesures les plus urgentes. Aussi, vous vous dotez automatiquement d’un partenaire œuvrant pour la mise en place de bonnes pratiques dans votre organisation, apportant son savoir-faire et son expérience notamment en gestion de crise. Faire appel à un MSSP équivaut à un investissement moindre côté client et la possibilité de se passer de compétences rares et hautement recherchées en interne. Faites le bon choix… vous n’êtes pas seuls face aux menaces de cyberattaques !
