Faut-il redouter des cyberattaques sur nos hôpitaux ?

En Californie, des cybercriminels ont diffusé un virus malveillant dans les données d’un centre hospitalier et ont proposé, contre une lourde rançon, une clef de déchiffrement pour les récupérer. Ce type d’attaque est-il possible en France ? Expert cybersécurité chez Trend Micro, Johanne Ulloa répond par l’affirmative. Et donne quelques conseils, pour tenter de s’en prémunir.

Egora.fr : Que s’est-il passé au centre médical presbytérien d’Hollywood, le 7 février dernier ?

Johanne Ulloa : Cet hôpital a été victime d’un ransonware, un logiciel malveillant, dont le but est de prendre les données en otage en les chiffrant, puis de demander le paiement d’une rançon en l’échange d’une clef de déchiffrement. Rien de très nouveau, cela fait déjà un bout de temps que différentes entreprises ou établissements de santé sont victimes de ce genre de choses, mais il m’apparaît que dans cette affaire, on a franchi un cap.

Qu’est-ce qui vous amène à penser cela ?

Le montant de la rançon. Au départ, il était annoncé à 9 000 bitcoins (3,6 millions de dollars) et au final, d’après le communiqué de l’hôpital et les informations publiées, ils ont payé 40 bitcoins, soit 17 000 dollars. L’hôpital a déclaré avoir payé cette somme pour récupérer les données plus facilement. Je pense qu’on a franchi un cap car habituellement, les attaquants personnalisent leurs malwares pour qu’ils ne soient pas détectés par les solutions traditionnelles, et demande en échange une rançon minime, de l’ordre de quelques bitcoins. Là, le montant de la rançon est très élevé, ce qui sous-entend que le cybercriminel est certain que les systèmes de restauration ne fonctionneront pas. Donc, le scénario possible et probable, c’est que l’hôpital a été victime d’une première compromission via une pièce jointe piégée, qui a permis aux attaquants de prendre la main sur le système d’information et de neutraliser le système de back up (secours) soit en chiffrant les back up, soit en faisant croire que les back up se passaient bien, attendre un certain temps puis chiffrer les données. Le but de l’attaquant, c’est de faire en sorte que la restauration ne soit pas possible. Le résultat pour la cible, c’est que la seule issue possible est de payer la rançon.

Une stratégie réfléchie de chevaux de Troie…

A mettre au conditionnel, mais c’est un scénario probable.

S’agit-il d’une démarche très sophistiquée ?

Non, et c’est cela qui est inquiétant. Ce n’est pas si complexe que cela. On voit beaucoup de fuites de données, des entreprises qui se font extorquer des données avec demande de rançon pour qu’elles ne soient pas divulguées à la concurrence. Mais à mon avis, c’est la première fois, ou du moins une des premières fois que l’on est informé, d’une demande de rançon en échange d’une clef de déchiffrement. On peut bien sûr tenter de casser le chiffrement, mais cela prend bien trop de temps pour que cela soit envisageable.

Une attaque de cet ordre peut-elle arriver en France ? Nos établissements hospitaliers sont-ils suffisamment protégés ?

La problématique est mondiale. Les ransomware peuvent frapper dans n’importe quel pays du monde. Il faut donc se préparer à ce type d’attaques, il faut limiter le risque. L’une des premières précautions à prendre est de sensibiliser les utilisateurs. Lorsqu’ils reçoivent une pièce jointe avec un mail ou un lien, il peut s’agir d’une menace très importante. Comme on regarde à gauche et à droite avant de traverser une route, il faut toujours se demander avant de cliquer pour ouvrir une pièce jointe, s’il n’y a pas un doute. Et dans ce cas, surtout ne jamais ouvrir.

Les utilisateurs sont déjà prévenus de ce risque…

On conseille aux gens de ne pas ouvrir les pièces jointes, mais comment travailler sans ouvrir les pièces jointes que l’on reçoit ? C’est un conseil qui ne tient pas compte de la réalité. Ce qui est important, c’est que les gens soient conscients de l’existence d’une forte menace, et qu’ils évaluent le danger, à chaque fois, avant de double cliquer pour ouvrir leur pièce-jointe. Il faut également faire de la sauvegarde sur des systèmes off line ou faire en sorte que les sauvegardes ne soient accessibles qu’en lecture seule. Pour pouvoir restaurer, il faut aussi mettre en place des process permettant de valider que la restauration fonctionne, s’assurer dans le temps que la restauration est possible.

Lors de la première compromission, celle qui permet à l’attaquant de prendre le contrôle de la machine, il y a l’envoi d’une pièce jointe conçue pour passer sous les anti-malware, les lignes de défense traditionnelles. Il faut dès lors compléter ces mécanismes traditionnels, avec des mécanismes de sandboxing, qui ne se basent pas sur des choses connues, mais sur le comportement des fichiers, pour pouvoir le bloquer avant qu’il arrive dans la boîte mail de l’utilisateur. Enfin, particulièrement dans les hôpitaux, il faut mettre en place un système de détection. Les hôpitaux doivent aussi gérer des composants sur lesquels ils n’ont pas de contrôle, typiquement des équipements biomédicaux. Il convient donc de mettre en place un système qui leur permet de détecter le plus tôt possible les actes malveillants, pour en limiter l’impact.

Comment installer ces systèmes ?

L’installation est très simple. La problématique réside plutôt dans la surveillance au quotidien. Les établissements de santé étant relativement démunis pour gérer la problématique de sécurité, il est préférable de faire appel à des sociétés spécialisées dans la cyber surveillance, susceptibles de mener des actions de réponses à incidents. Pour les libéraux, il y a des solutions passant par le cloud.

Considérez-vous que notre parc hospitalier est fragile vis-à-vis de ces attaques ?

Pas plus ou moins qu’aux Etats Unis. En France, de manière générale, nous avons une bonne culture de la sécurité. Mais les attaquants ont une avance considérable sur les défenseurs, car la surface d’exposition s’est considérablement démultipliée. Les défenseurs doivent agir partout, tout le temps, alors que les attaquants peuvent se contenter d’agir sur un point, quand ils le souhaitent. Il faut adopter le principe de la résilience : se dire que l’attaque va survenir, et s’y préparer. Cela repose sur une préparation, une anticipation, puis une détection et en mettant en place des process de réponses à incidents. Il faut aussi préparer la crise sur le plan logistique.

Comme pour une attaque terroriste…

La finalité n’est pas la même, mais c’est aussi pourquoi je pense qu’un cap a été franchi. A Hollywood, on s’est trouvé en présence d’attaquants sans scrupules qui n’ont pas hésité à viser un parc hospitalier, et mettre en péril la vie de certains patients. Les attaquants ont trouvé un business model extrêmement rentable. Bien souvent, les entreprises se font voler leurs données de manière indolore et ne s’en rendent compte que bien plus tard. Ici, en rompant l’accessibilité des données, l’effet est bien plus important.

Source :
www.egora.fr
Auteur : Catherine Le Borgne

Compte rendu officiel de l’attaque au centre médical presbytérien d’Hollywood.

Partagez cet article !

Articles similaires

EGORA AUDIO – Anaïs-Mai Desjardins, kitefoileuse et externe en médecine

EGORA – Violences dans les hôpitaux parisiens : près de 280 signalements reçus depuis 2021

EGORA – “J’ai essayé de dire la vérité aux Français” : François Braun, ce ministre qui n’était “pas assez politique”

EGORA – Frédéric Valletoux annonce la création d’une consultation de soins infirmiers

EGORA – Harcèlement sexuel : l’urgentiste Patrick Pelloux mis en cause par l’infectiologue Karine Lacombe