Les ransomwares dans le secteur de la santé : comprendre la menace croissante qui pèse sur la cybersécurité mondiale

< <> Un ransomware est un logiciel malveillant qui infecte un ordinateur et détruit des données à l’aide d’algorithmes de chiffrement complexes. Les données chiffrées sont alors perdues et les pirates exigent une rançon pour les restituer, sans toutefois offrir de garanties. Les cybercriminels peuvent cibler diverses organisations, et le secteur de la santé ne fait pas exception. Cet article de blog traite des cyberattaques dans le secteur de la santé, de la nature destructrice des ransomwares et des moyens de protéger les données contre ces derniers. Pourquoi les ransomwares ciblent-ils les établissements de santé ? Les ransomwares ciblent les établissements de santé en raison de la nature des données qu’ils gèrent et stockent. Les hôpitaux, cliniques, laboratoires et autres établissements de santé modernes utilisent intensivement des systèmes numériques pour effectuer des diagnostics, stocker des dossiers médicaux et réaliser des évaluations de santé. Les professionnels de santé ont besoin d’accéder à ces systèmes pour effectuer des opérations essentielles, parfois vitales. Les cybercriminels pensent que, en ciblant les organismes de santé et en rendant les données inaccessibles par l’intermédiaire du ransomware, les victimes n’auront d’autre choix que de payer la rançon pour récupérer rapidement l’accès à leurs données. Les enjeux sont élevés et les patients peuvent mourir sans aide médicale lorsque les systèmes numériques d’un hôpital ne fonctionnent pas. Les dossiers médicaux sont des données précieuses pour les criminels, car ils contiennent des informations personnelles telles que des adresses, des numéros de téléphone, des adresses e-mail, d’autres identifiants personnels, des informations sur les assurances et les antécédents médicaux. Les pirates peuvent voler ces données avant de les détruire afin de les utiliser dans des attaques personnalisées. Les informations relatives à la recherche et au développement (telles que le développement de vaccins ou de nouveaux remèdes) sont également précieuses et leur perte peut avoir un coût très élevé. En outre, la plupart des organismes de santé consacrent la majeure partie de leur budget à l’équipement médical, et la cybersécurité est moins prioritaire. Des investissements supplémentaires sont nécessaires pour garantir une meilleure cybersécurité et empêcher les pirates informatiques d’exploiter les vulnérabilités existantes pour mener des cyberattaques contre le secteur de la santé. De plus, les organismes du secteur de la santé subissent la pression des institutions réglementaires qui imposent des amendes en cas de non-conformité. Les attaquants présument que ce facteur financier peut les aider à obtenir le paiement d’une rançon de la part de leurs victimes. Attaques récentes par ransomware dans le secteur de la santé : exemples mondiaux Vous trouverez ci-dessous des exemples mondiaux d’attaques par ransomware contre des organisations du secteur de la santé. Change Healthcare (février 2024). Une attaque par ransomware menée par le groupe ALPHV/BlackCat a perturbé les systèmes de traitement des demandes de remboursement et de paiement, affectant une partie importante du système de santé américain. Cette violation a exposé les données sensibles d’environ un tiers de tous les citoyens américains et a entraîné des coûts supérieurs à 1 milliard de dollars . Ascension Healthcare (mai 2024). L’un des plus grands systèmes de santé à but non lucratif des États-Unis, Ascension, a été victime d’une attaque par ransomware qui a perturbé les dossiers médicaux électroniques et les services de diagnostic dans ses 120 hôpitaux. Cet incident a entraîné des retards dans les soins aux patients et des pertes financières importantes. Rite Aid (juin 2024). La chaîne de pharmacies a subi une violation de données qui a compromis les informations personnelles d’environ 2,2 millions de personnes, notamment leurs noms, adresses et numéros de permis de conduire. Le groupe RansomHub a revendiqué la responsabilité de cette attaque. Les poursuites judiciaires et les pertes financières sont les principales conséquences négatives de cette attaque. Synnovis (juin 2024). Une attaque par ransomware menée par le groupe Qilin a ciblé Synnovis, un prestataire de services de pathologie pour le National Health Service (NHS) au Royaume-Uni. Le ransomware a effectué le chiffrement des données critiques de l’organisation. Cette violation a entraîné l’annulation de plus de 1 100 opérations et l’exposition de près de 400 Go de données de santé sensibles, ce qui a causé des pertes financières d’environ 32,7 millions de livres sterling 32,7 millions de livres sterling . Hôpital pour enfants Alder Hey (novembre 2024). Le groupe INC Ransom a déclaré avoir volé des données à l’hôpital au Royaume-Uni, notamment des dossiers de patients et des informations sur les achats. L’hôpital enquête sur cette violation avec l’Agence nationale contre la criminalité. MediSecure (novembre 2023). Une attaque contre ce fournisseur de prescriptions électroniques en Australie a exposé les informations personnelles et médicales d’environ 12,9 millions de personnes. La violation n’a été détectée qu’en mai 2024 et a conduit MediSecure à se placer sous administration volontaire. Centre hospitalier universitaire de Zagreb (juin 2024). Le groupe de ransomware LockBit a attaqué le plus grand établissement médical de Croatie, perturbant ses activités en raison de l’indisponibilité des données et des systèmes informatiques. Le groupe a affirmé avoir exfiltré un grand nombre de fichiers, y compris des dossiers médicaux. Comme vous pouvez le constater, les ransomwares peuvent : Chiffrer/détruire des données et rendre les systèmes numériques inutilisables. Voler des données en silence. Le coût des ransomwares dans le secteur de la santé Le nombre d’attaques par ransomware dans le monde augmente d’année en année. En 2024, les groupes de ransomware ont déclaré avoir mené avec succès 5 461 attaques de ransomware, et les organisations attaquées ont confirmé 1 204 attaques de ransomware. La majorité des attaques ont été menées contre des institutions en Europe et en Amérique du Nord. En 2024, la rançon moyenne demandée s’élevait à 3,5 millions de dollars, et le montant des paiements enregistrés versés aux cybercriminels était d’environ 133,5 millions de dollars. En ce qui concerne les attaques par ransomware dans le secteur de la santé, 181 attaques ont été confirmées en 2024. Selon The HIPAA Journal, la rançon moyenne demandée était de 5,7 millions de dollars. Cyber Insurance News a rapporté que 67 % des organismes de santé ont été la cible de ransomware, contre 60 % en 2023. 65 % des organismes travaillant dans le secteur de la santé ont déclaré que les demandes de rançon dépassaient 1 million de dollars, et 35 % ont dû faire face à des demandes supérieures à 5 millions de dollars. Les coûts de récupération après une attaque par ransomware ont également augmenté : 2,57 millions de dollars en 2024, contre 2,2 millions en 2023, soit le double depuis 2021. Vecteurs courants de ransomware dans les environnements médicaux Il est important de connaître les vecteurs courants des attaques par ransomware dans les environnements médicaux. Ces informations peuvent aider à réduire les risques et à atténuer les problèmes. La plupart des méthodes sont identiques aux approches générales utilisées par les cybercriminels. Les e-mails de phishing sont la méthode la plus courante pour lancer des attaques par ransomware contre les organismes de santé. Les pièces jointes malveillantes, les documents Microsoft Office contenant des macros malveillantes et les liens vers des sites Web malveillants sont largement utilisés pour installer du ransomware dans les établissements de santé à partir des ordinateurs des utilisateurs finaux. Ces adresses e-mail usent souvent l’identité de fournisseurs, d’administrateurs ou même de services internes. Les attaquants utilisent des techniques d’ingénierie sociale pour créer un sentiment d’urgence et trouver un point d’entrée. Les vulnérabilités des bureaux à distance constituent une autre méthode largement utilisée pour infecter les ordinateurs avec du ransomware. Les cybercriminels exploitent les vulnérabilités des protocoles et des logiciels de bureau à distance pour lancer leurs attaques. Une configuration incorrecte des services de bureau à distance, des mots de passe faibles et des paramètres de sécurité insuffisants peuvent ouvrir la voie au ransomware dans les établissements de santé. Les attaquants recherchent les ports RDP ouverts, utilisent la force brute ou des identifiants de connexion volés et obtiennent un accès direct aux systèmes. Vulnérabilités logicielles . Les attaquants peuvent exploiter les vulnérabilités logicielles des systèmes d’exploitation, des applications et d’autres logiciels. Les logiciels médicaux spécialisés peuvent présenter des vulnérabilités connues que les pirates peuvent exploiter pour installer du ransomware sur les machines, propager du ransomware et détruire des données. Les vulnérabilités zero-day sont les plus dangereuses. Elles sont nouvelles et inconnues des fournisseurs, mais sont utilisées par les pirates informatiques. Clés USB infectées . Un acteur malveillant peut insérer une clé USB infectée dans le port USB d’un ordinateur situé à un emplacement accessible au sein d’un établissement médical. Cela peut infecter un ordinateur avec du ransomware et le propager sur le réseau de l’établissement. Authentification . Des mots de passe faibles et des identifiants de connexion volés sont utilisés pour se connecter à un système et installer un ransomware. Les cybercriminels peuvent utiliser les données issues de violations antérieures pour accéder à des ordinateurs et à des réseaux. Bonnes pratiques pour prévenir le ransomware dans le secteur de la santé Mettez en œuvre les bonnes pratiques ci-dessous pour protéger vos données et prévenir les ransomwares dans les établissements de santé. Les mesures de protection contre les ransomwares nécessitent une approche multicouche : Renforcez la sécurité des adresses e-mail . Configurez des filtres anti-spam et des systèmes de protection des adresses e-mail afin de réduire les tentatives d’hameçonnage. Apprenez aux utilisateurs à reconnaître les e-mails et les liens suspects. Les utilisateurs doivent les signaler aux administrateurs. Vous pouvez utiliser des sandbox pour les pièces jointes aux e-mails. Utilisez un logiciel antivirus mis à jour . Installez l’antivirus d’un fournisseur fiable. Les logiciels antivirus et anti-malware peuvent détecter rapidement les ransomwares et supprimer les fichiers malveillants afin d’éviter toute infection. Les systèmes antivirus modernes peuvent analyser les activités suspectes dans un système d’exploitation et un système de fichiers, qui peuvent être des signes de ransomware. Les systèmes de prévention des intrusions améliorent le niveau global de protection contre les ransomwares. Installez des correctifs de sécurité pour corriger les vulnérabilités logicielles . N’oubliez pas d’installer les correctifs de sécurité sur les systèmes d’exploitation, les plateformes de dossiers médicaux électroniques, les systèmes PACS/RIS et les appliances médicales. Assurez la sécurité du réseau . Configurez le pare-feu et fermez les ports inutilisés afin de réduire la surface d’attaque potentielle. Isolez les réseaux afin de limiter la propagation du ransomware en cas d’infection. Segmentez les réseaux pour isoler les appareils médicaux, les systèmes d’administration et le Wi-Fi public. Veillez à configurer la surveillance de l’utilisation du réseau, du disque et du processeur, car le ransomware provoque généralement une charge élevée sur le réseau pour crypter les données. Mettez en œuvre une politique de sécurité efficace . Configurez des contrôles d’accès stricts avec des droits d’accès appropriés, des mots de passe forts et des méthodes d’authentification (en particulier pour les adresses e-mail). Configurez l’authentification multifactorielle pour les systèmes critiques. Envisagez d’appliquer un contrôle d’accès basé sur les rôles et le principe du moindre privilège. Sensibilisez les utilisateurs . Organisez des formations sur la cybersécurité adaptées aux scénarios du secteur de la santé. Informez les utilisateurs des principaux vecteurs de ransomware dans le secteur de la santé et des premiers signes d’infection. Les utilisateurs doivent déconnecter du réseau tout ordinateur infecté ou présentant un comportement suspect, puis l’éteindre afin d’empêcher le ransomware de se propager et de crypter les données. Effectuez régulièrement des tests de phishing auprès des utilisateurs afin de renforcer leur vigilance. Sauvegardez régulièrement les données . Effectuez des sauvegardes régulières en planifiant des sauvegardes planifiées et automatisées à des intervalles spécifiques. Utilisez la règle de sauvegarde 3-2-1 pour stocker plusieurs sauvegardes à différents emplacements. Si un ransomware détruit une copie de vos données, vous aurez plus de chances de les restaurer à partir d’une autre copie intacte. Utilisez un stockage isolé, tel que des disques durs déconnectés de la source ou des cartouches de bande , car les ransomwares ne peuvent pas accéder physiquement aux supports déconnectés. La configuration de l’immuabilité des sauvegardes améliore la protection contre les ransomwares, car ceux-ci ne peuvent pas modifier les données immuables. Créez un plan de récupération . Élaborez un plan d’intervention en cas d’incident et un plan de reprise après sinistre . Un plan d’intervention en cas de ransomware doit inclure des listes de contacts, des protocoles juridiques et réglementaires (par exemple, signalement des violations HIPAA), des stratégies de récupération et de communication. Ne payez pas la rançon aux cybercriminels . Le paiement de la rançon incite les créateurs de ransomware à lancer davantage d’attaques pour obtenir plus d’argent. En cas d’infection par un ransomware, il est recommandé de ne pas payer les attaquants. Les organisations qui paient une rançon n’ont aucune garantie que les données cryptées seront restaurées ou que les données volées ne seront pas transférées à d’autres personnes. Le rôle de la sauvegarde et de la reprise après sinistre dans la défense contre les ransomwares La sauvegarde et la reprise après sinistre jouent un rôle essentiel dans la défense contre les ransomwares dans le secteur de la santé en garantissant que les organisations peuvent récupérer leurs opérations et leurs données sans payer de rançon. Si les mesures préventives n’ont pas réussi à protéger les données d’origine contre les ransomwares, vous pouvez récupérer les données à partir d’une sauvegarde. Récupération des données sans payer de rançon . La principale défense contre les ransomwares consiste à pouvoir restaurer des données saines à partir d’une sauvegarde si la copie originale est corrompue. Grâce à des sauvegardes vérifiées et isolées, les établissements de santé peuvent éviter de payer les pirates et reprendre leurs services avec un minimum de pertes. Protection des données en cas de chiffrement par un ransomware . Les ransomwares chiffrent (corrompent) ou suppriment les données. Grâce à une solution de protection des données, les établissements de santé peuvent réaliser la récupération de leurs données, notamment les dossiers médicaux électroniques, les données d’imagerie (PACS), les systèmes de planification et de facturation. Assurer la continuité des activités . Vous pouvez réaliser la récupération de vos données et rétablir la disponibilité des services en peu de temps. Il s’agit de la méthode la plus rapide pour assurer la récupération des données après une infection par un ransomware. Vous pouvez ainsi minimiser les temps d’arrêt et les pertes financières. Dans le secteur de la santé, chaque minute d’indisponibilité peut avoir de graves conséquences, telles que des retards dans les soins aux patients, des sanctions légales/réglementaires et une atteinte à la réputation. Il est important de choisir une solution de protection des données fiable qui vous permette de mettre en œuvre les bonnes pratiques pour vous protéger contre les attaques par ransomware et qui permette une récupération rapide. Conformité réglementaire et protection des données dans le secteur de la santé La conformité réglementaire et la protection des données dans le secteur de la santé sont essentielles pour garantir la sécurité des patients, maintenir la confiance et éviter les sanctions juridiques et financières. Ces réglementations régissent la manière dont les données sont collectées, stockées, consultées et protégées, en particulier contre les menaces de cybersécurité dans le secteur de la santé, telles que le ransomware. La conformité réglementaire est importante dans le secteur de la santé pour les raisons suivantes : Les organismes de santé traitent des informations médicales protégées, notamment les diagnostics, les traitements, les antécédents médicaux et les informations de facturation. Les violations peuvent entraîner des préjudices pour les patients, des usurpations d’identité et une perte de confiance du public. Le non-respect de ces réglementations peut entraîner des amendes, des poursuites judiciaires et des sanctions en matière d’octroi de licences. Les principales réglementations en matière de protection des données de santé sont les suivantes : HIPAA (Health Insurance Portability and Accountability Act) – États-Unis. Objectif : protection des informations médicales protégées. Règle de confidentialité : réglemente l’accès et l’utilisation des informations médicales protégées. Règle de sécurité : exige une protection technique, administrative et physique. Règle de notification des violations : impose la divulgation rapide des violations. Sanctions : Jusqu’à 1,9 million de dollars par infraction et par an. RGPD ( Règlement général sur la protection des données ) – UE/EEE. Thème central : protection des données à caractère personnel, y compris les données relatives à la santé. Dispositions clés : consentement éclairé pour l’utilisation des données, droit à l’oubli, minimisation et chiffrement des données. Sanctions : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. PIPEDA (Loi sur la protection des renseignements personnels et les documents électroniques) Couvre la manière dont les prestataires de soins de santé du secteur privé traitent les données des patients. Les conditions à remplir sont la transparence, le consentement et la notification des violations. Autres réglementations notables : Australie : Loi sur les dossiers médicaux personnels, loi sur la protection de la vie privée. Inde : Act pour la protection des données personnelles numériques (DPDP), DISHA (proposé). Singapour : Loi sur la protection des données personnelles (PDPA). Les conditions à remplir en matière de réglementation et de conformité ont une incidence sur les principes fondamentaux de protection des données dans le domaine des soins de santé : Confidentialité : Seul le personnel autorisé doit avoir accès aux informations médicales protégées. Utilisation de contrôles d’accès basés sur les rôles et chiffrement . Intégrité : Veiller à ce que les informations médicales protégées soient exactes et inaltérées. Enregistrer tous les accès et toutes les modifications. Disponibilité : Les systèmes doivent être résilients et maintenir leur disponibilité, en particulier pour les soins critiques (DME, PACS). Prise en charge par des sauvegardes et une reprise après sinistre. Ces facteurs et les conditions à remplir ont une incidence sur la stratégie de protection contre les ransomwares dans les établissements de santé, y compris la protection des données. Conclusion Les ransomwares dans le secteur de la santé sont particulièrement dangereux, car ils peuvent avoir des répercussions sur la santé des patients. Face à l’augmentation du nombre d’attaques par ransomware, il est fortement recommandé aux organismes de santé de mettre en place des mesures préventives pour protéger leurs données. La sauvegarde et la reprise après sinistre sont essentielles et permettent de réaliser rapidement la récupération des données sans avoir à payer de rançon. Utilisez NAKIVO Backup & Replication pour protéger vos données contre les ransomwares grâce à des fonctionnalités avancées, notamment l’immuabilité des sauvegardes, le chiffrement et la reprise après sinistre. > &