Alors que les cyberattaques deviennent de plus en plus sophistiquées, la sécurisation des données reste un défi majeur pour les organisations de santé.
Comme en témoigne la récente compromission de l’hôpital de Corbeil-Essonnes à la rentrée, le secteur reste l’une des cibles privilégiées des cybercriminels, notamment via les attaques de ransomwares. Selon un rapport récemment publié par Sophos, le nombre d’attaques de ransomwares a augmenté de 94 % en 2021, avec 66 % des organisations concernées spécialisées dans les soins de santé, contre 34 % l’année précédente. Ainsi, les entreprises de ce secteur doivent renforcer leurs systèmes de défense et mettre en place une stratégie holistique pour contrecarrer toute tentative d’intrusion.
Les organismes de santé, cible privilégiée des attaques par ransomware
Le secteur de la santé est particulièrement lucratif pour les hackers : ses gros budgets de fonctionnement et ses contrats d’assurance en font une cible financièrement lucrative et, de plus, ses systèmes informatiques complexes et obsolètes le rendent plus vulnérable aux cyberattaques. Les cybercriminels reconnaissent également que presque toutes les organisations sont soumises à la nécessité de rétablir rapidement leurs activités pour assurer la continuité du service, et donc garantir la santé et la sécurité des patients. Cette obligation s’applique à l’ensemble de l’écosystème médical, qu’il s’agisse d’un hôpital, d’une chaîne d’approvisionnement ou d’un régime d’assurance maladie.
Pour limiter les dégâts, les établissements de santé doivent se prémunir sans délai contre les menaces évolutives et assurer la protection des données critiques. Suite à la cyberattaque de l’hôpital de Corbeil-Essonnes, 20 millions d’euros supplémentaires ont été débloqués spécifiquement pour accompagner les organismes de ce secteur dans le renforcement de leur cybersécurité. Par ailleurs, une analyse de la Commission nationale de l’informatique et des libertés (CNIL) publiée le 14 novembre 2022 a récemment révélé des lacunes du droit national en matière de traitement des informations de santé. Le régulateur français appelle donc à l’adoption d’une nouvelle loi, qui « autorisera expressément les professionnels de santé à transmettre des données aux organismes complémentaires d’assurance maladie couverts par le secret médical et encadrera les modalités de cette transmission. Cette législation permettra aux établissements de santé de mieux contrôler la gestion des données et de répondre aux exigences relatives au secret médical.
Mais la vérité est que la majorité des pirates ne s’introduisent pas : ils se connectent. Plus précisément, les informations d’identification ont été utilisées dans 61 % des violations de données, selon le rapport Verizon Data Breach, dont 25 % sont dues à des ransomwares. Par conséquent, les entreprises du secteur de la santé doivent adopter des solutions d’authentification qui garantissent que les utilisateurs augmentent la sécurité de leurs systèmes critiques et de leurs informations sensibles. Il est également important de consolider la protection de leurs données critiques, et ainsi de déjouer les demandes de rançon des cybercriminels. Pour ce faire, la conformité au RGPD (Règlement général sur la protection des données) et la mise en place de dispositifs avec une sécurité intégrée adéquate ou des outils pour protéger les informations stockées, sont essentielles.
Contrecarrer les cyberattaques grâce à l’authentification forte
Pour assurer une protection optimale contre les risques cyber, le blocage des points d’accès les plus fréquemment utilisés par les pirates, à savoir les identifiants et le phishing, est fondamental. Leur dénominateur commun est l’utilisateur qui, lorsqu’il ne respecte pas les bonnes pratiques, combiné à des méthodes d’authentification de base, comme les mots de passe, permet souvent aux cyber-attaquants d’ouvrir les portes d’une organisation.
De plus, l’effort de déploiement est minime par rapport à l’impact d’une attaque de ransomware, compte tenu de la perte de données et de l’énorme travail de réparation. En matière de prévention, il existe une solution très simple : sécuriser l’accès des utilisateurs aux systèmes critiques en mettant en place une méthode d’authentification multi-facteurs (MFA) résistante au phishing, labellisée « forte ».
Cette MFA, idéalement mise en œuvre grâce à l’utilisation d’une clé de sécurité SmartCard ou FIDO2, permet aux organisations de soins de santé de faire face aux tentatives de compromission d’identité et de contournement de l’authentification. Il est impossible de pirater à distance, car il repose sur un appareil physique déverrouillé avec un code PIN unique, ou une empreinte biométrique, pour se connecter au compte. En outre, il fournit des solutions aux problèmes inhérents associés aux méthodes d’authentification obsolètes, telles qu’une expérience utilisateur insatisfaisante ou des violations lors du partage de mots de passe. En effet, les outils qui réduisent les temps d’identification, ou les étapes de ceux-ci, réduisent principalement le cyber burnout des employés. Les organisations tiennent donc à prendre en compte cet aspect lors de la mise en place de leur stratégie cyber, qui doit inclure la sécurité des données d’une part et avoir un impact positif sur l’expérience utilisateur d’autre part.
Les cybercriminels continuent d’exploiter les failles de sécurité dans le secteur de la santé, ce qui en fait des cibles de choix pour les attaques de ransomwares. Pour sécuriser leurs données critiques et contrecarrer les poursuites pénales, ces organisations doivent considérablement renforcer leurs défenses. L’implémentation MFA, résistante au phishing et simple d’utilisation, permet notamment de bloquer l’accès aux systèmes critiques et de se protéger contre le vol d’identifiant. En intégrant ces solutions dans leur cyberstratégie, les organisations de santé pourront contrer efficacement les cybermenaces qui sévissent dans le secteur.