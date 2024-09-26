Selon le rapport BM de 2024 sur le coût d’une violation de données, le coût moyen mondial d’une violation de données a atteint 4,88 millions de dollars cette année, soit une augmentation de 10 % par rapport à 2023.
Pour le secteur des soins de santé, le rapport offre à la fois de bonnes et de mauvaises nouvelles. La bonne nouvelle, c’est que le coût moyen des violations de données a chuté de 10,6 % cette année. La mauvaise nouvelle, c’est que, pour la 14e année consécutive, le secteur de la santé arrive en tête de liste avec le coût de reprise le plus élevé, avec une moyenne de 9,77 millions de dollars.
Les ransomwares jouent un rôle clé dans la création de cet écart de coût. Comme l’indiquent les données de l’Office of the Director of National Intelligence, le nombre d’attaques par ransomware a presque doublé entre 2022 e 2023. Les récentes attaques à grande échelle, telles que celles contre Change Healthcare et Ascension, ont démontré l’efficacité de ces attaques et des pirates informatiques.
Résultat ? Les ransomwares sont en pleine expansion. Voici ce que les entreprises de santé doivent savoir sur les raisons pour lesquelles les ransomwares fonctionnent si bien, sur ce que veulent les attaquants et sur la façon dont les compromissions passées déterminent les tendances futures.
Les données de santé sont précieuses, non seulement financièrement mais aussi physiquement.
Prenons l’exemple d’une attaque de ransomware qui trouve et crypte les données des patients. Dans le meilleur des cas, les traitements des patients sont temporairement décalés ou mis en pause. Dans le pire des cas, des vies sont en danger car le personnel ne peut pas accéder aux informations critiques des patients.
Si les entreprises de soins de santé maintiennent leur position et refusent de payer, elles ne sont pas seulement confrontées à des problèmes financiers et opérationnels ; elles mettent potentiellement les patients en danger. Cela crée un double problème, la direction et les familles de patients faisant pression sur les équipes informatiques pour répondre aux demandes au lieu d’essayer de déchiffrer les données compromises. Par conséquent, les entreprises du secteur de la santé sont plus susceptibles que les autres secteurs de payer la rançon, même s’il n’y a aucune garantie que les données seront déchiffrées et que les agresseurs n’essaieront pas à nouveau.
Alors que des problèmes internes tels que l’erreur humaine et les défaillances informatiques représentaient respectivement 26 % et 22 % des attaques dans le secteur de la santé, 52 % des violations ont été attribuées à des acteurs malveillants.
Selon un rapport de l’Office of Information Security et du Health Sector Cybersecurity Coordination Center (HC3), les principaux chemins d’attaque pour les soins de santé incluent l’ingénierie sociale, les attaques par hameçonnage, la compromission des e-mails professionnels (BEC), le déni de service distribué (DDoS) et les botnets.
La compromission par l’une de ces voies permet aux cybercriminels de télécharger et d’installer un ransomware. Dans le cas d’attaques telles que le phishing ou la compromission des e-mails, il peut s’écouler des jours, des semaines, voire des mois avant que les organisations ne découvrent qu’elles ont été victimes d’une violation.
Les pénuries de personnel informatique facilitent également l’intrusion des pirates dans les réseaux de santé. Comme l’ont souligné une recherche récente de CDW, seulement 14 % des organisations de santé déclarent que leurs équipes de sécurité informatique sont entièrement dotées de personnel. Plus de la moitié disent avoir besoin de plus d’aide et 30 % considèrent manquer de personnel ou être gravement en sous-effectif. Aussi, de nombreuses entreprises se retrouvent dans un état de triage de cybersécurité continu, ce qui produit un (ou plusieurs) niveau(x) de retard sur les acteurs malveillants.
Les attaquants cherchent à chiffrer et à exfiltrer n’importe quelle donnée, ce qui complique la tâche des établissements de santé et les expose à un risque de compromission réglementaire.
Il s’agit notamment des dossiers médicaux électroniques (DME) qui contiennent des informations sur les patients, telles que les plans de traitement, les informations financières, les données relatives à l’assurance ou les numéros de sécurité sociale. Les attaquants peuvent également empêcher le personnel d’accéder à des solutions clés telles que les outils de planification ou couper les connexions avec les principaux services cloud.
En bref, les attaquants veulent tout ce qu’ils peuvent vendre et tout ce qu’ils peuvent utiliser pour obliger à une action immédiate. Prenons l’exemple d’un cabinet de finances. En cas de violation de documents protégés, les sociétés financières peuvent subir des pertes financières et voir leur réputation affectée. Dans le cas de la santé, un compromis pourrait entraîner des blessures graves, voire la perte de vies humaines, deux événements majeurs qui pourraient les condamner presque définitivement en termes de réputation.
Les attaques par ransomware ont tendance à augmenter en partie parce que les pirates informatiques connaissent des succès répétés.
Par exemple, en février 2024, Change Healthcare a subi une attaque par ransomware orchestrée par un groupe connu sous le nom de BlackCat. Plutôt que de prendre le risque de perdre des données critiques, Change a payé 22 millions de dollars américains aux attaquants. Selon un récent article de NPR, les pertes totales de l’entreprise dues à l’incident dépasseront probablement 1,5 milliard USD.
Trois mois plus tard, un autre groupe de ransomware a attaqué Ascension, un système de santé catholique comptant 140 hôpitaux présent dans 10 États américains. Les prestataires ont été privés de l’accès à des systèmes essentiels qui permettaient de suivre et de coordonner les soins aux patients, notamment des informations sur les types de médicaments, les doses et les réactions problématiques potentielles. Le passage au papier a permis à Ascension de gérer l’impact, mais a considérablement ralenti les processus opérationnels.
Le succès continu des attaques par ransomware crée une opportunité à la fois pour les attaquants qualifiés et pour leurs homologues moins compétents : ceux qui ont des talents en codage peuvent créer leur propre code et le combiner avec des outils de logiciel malveillant existants, tandis que ceux qui n’ont pas de compétences peuvent acheter des packages de ransomware prêts à l’emploi sur les marketplace du Dark Web.
Pour réduire les risques liés aux ransomwares, il faut adopter une approche en deux parties, à savoir la protection et la détection.
La protection comprend l’utilisation d’outils anti-usurpation et de vérification d’e-mail capables de réduire le nombre de messages potentiellement frauduleux qui arrivent dans les boîtes de réception des utilisateurs. Par exemple, les entreprises peuvent signaler certaines phrases comme « action urgente » ou « transfert de fonds » pour limiter le risque d’attaques par hameçonnage.
L’IA et les outils automatisés, quant à eux, peuvent contribuer à raccourcir le temps nécessaire aux entreprises pour détecter et donc atténuer les attaques. Selon Brendan Fowkes, responsable mondial des technologies pour la santé chez IBM, les organismes de santé utilisant des outils d’IA et d’automatisation ont pu détecter et contenir les incidents 98 jours plus rapidement que la moyenne. De plus, les entreprises utilisant ces solutions ont économisé en moyenne près d’un million de dollars américains.
Les attaques par ransomware contre les organismes de santé continuent d’augmenter, les cybercriminels ayant pris conscience de la valeur des données opérationnelles et des données relatives aux patients pour contraindre les entreprises touchées à agir.
Bien qu’il soit impossible d’éliminer complètement le risque de ransomware, les entreprises peuvent réduire leur potentiel de compromission en combinant des outils de protection des e-mails avec des solutions de détection d’IA capables d’automatiser les processus clés et d’identifier les problèmes potentiels avant qu’ils ne compromettent les précieuses données des patients.