Stratégie

Les DSI des hôpitaux américains en lutte contre les rançongiciels

Dr. Sam Amirfar, CIO, The Brooklyn Hospital Center : « Vous seriez étonnés de voir à quel point certaines attaques sont sophistiquées. »

Dans les hôpitaux américains, les DSI affrontent davantage de cybercriminels, qui cherchent à tirer un profit financier de la crise sanitaire. CIO États-Unis a recueilli les témoignages de trois d'entre eux.

PublicitéL'hôpital Mt. San Rafael, rattaché au réseau de santé BridgeCare, qui regroupe cinq hôpitaux du Colorado, a déjoué une attaque par rançongiciel sur l'un de ses sites un peu plus tôt cette année, avant que quoi que ce soit ne puisse être compromis. L'organisation travaille toujours sur l'analyse des détails de l'attaque, selon son CIO Michael Archuleta. « Cela aurait pu mal se terminer si nous n'avions pas mis en place les outils d'automatisation et d'intelligence nécessaires pour intercepter et stopper l'attaque », estime-t-il.

La grande majorité des ransomwares proviennent de pièces jointes vérolées attachées à des e-mails, ouvertes par des employés qui les propagent ainsi involontairement à travers le réseau. Les attaquants peuvent utiliser cet exploit pour chiffrer les systèmes et demander un paiement pour les déverrouiller. Toutes les organisations ne sont malheureusement pas aussi rapides pour détecter des comportements suspects. Il suffit d'interroger les victimes prises dans la nasse SolarWinds en 2020, où la chaîne d'approvisionnement a été infiltrée, la menace se propageant comme un feu de forêt dans des milliers d'entreprises et d'agences gouvernementales, dont le Département d'État des États-Unis. La pandémie s'est révélée un terreau fertile pour les groupes de cybermalfaiteurs, qui ont lancé des attaques dans tous les secteurs touchés par les impacts du Covid-19.

Le secteur médical, une cible de choix pour les cyberattaques

Il n'existe guère de secteur qui ait subi des ransomwares - parmi d'autres types de cyberattaques, autant que celui de la santé, où la profusion de machines connectées, d'équipements médicaux et d'information sur les patients représente un vrai trésor pour les attaquants. Rien qu'en 2020, 18 familles de rançongiciels ont infecté 104 organisations de santé, incluant des hôpitaux, des laboratoires pharmaceutiques et des sociétés de biotechnologies, selon le rapport global sur les menaces du fournisseur de solutions de cybersécurité CrowdStrike.

« Les organisations de santé ont tendance à être moins préparées que d'autres du point de vue de la cybersécurité », en particulier quand il s'agit de se défendre contre des attaques, selon l'analyste du cabinet d'étude Gartner Paul Proctor, qui a organisé plusieurs échanges entre des DSI d'hôpitaux et des spécialistes de la cybersécurité à propos de ces menaces durant la pandémie. Certains voulaient savoir quoi faire pour mieux stopper les attaques, d'autres avaient déjà vécu ce moment pivot où l'organisation est touchée. Paul Proctor se déclare surpris par la résistance persistante des décideurs à reconnaître l'importance des technologies sur lesquelles ils s'appuient pour faire fonctionner leur organisation. Beaucoup de dirigeants du secteur médical continuent de considérer la cybersécurité comme un sujet de conformité plutôt que comme un risque existentiel pour leur activité. En conséquence, de nombreux acteurs du secteur n'investissent pas suffisamment dans la technologie et échouent à former leurs collaborateurs à la cyberhygiène de base, comme le fait de savoir identifier des attaques par hameçonnage. « Les dirigeants des banques prennent la sécurité au sérieux, ce qui n'est pas le cas de ceux des hôpitaux », déplore Paul Proctor.

PublicitéLes départements IT des hôpitaux se renforcent face aux attaques

Ce constat est partagé par Michael Archuleta, qui note que des secteurs comme la finance ou l'énergie déploient une meilleure cybersécurité que les organisations de santé. Même en ayant vu davantage d'attaques opportunistes durant la pandémie, il observe que beaucoup d'organisations continuent de traiter la cybersécurité comme un sujet à part au lieu d'en faire une partie intégrante de leurs stratégies IT. « Les départements de cybersécurité ont été perçus comme des centres de coût au lieu de contributeurs stratégiques au chiffre d'affaires », regrette Michael Archuleta. « Nous avons besoin d'introduire de l'innovation. » Pour protéger son hôpital, Michael Archuleta a déployé la solution de Cylera afin de monitorer un réseau IoT (Internet des objets) qui inclue des machines de radiologie, des ordinateurs et d'autres équipements. Selon le DSI, celle-ci offre « une vision d'aigle » sur l'ensemble, depuis les adresses IP et systèmes d'exploitation jusqu'aux imprimantes et réseaux privés virtuels locaux. Le logiciel, que les équipes IT peuvent voir catégoriser les menaces par niveau de risque depuis un tableau de bord, peut déconnecter des terminaux ou des systèmes du réseau s'il détecte des anomalies. La stratégie de défense de l'hôpital Mt. San Rafael repose également sur des logiciels et matériels de Dell, Cisco et Splunk. Michael Archuleta prodigue également des formations en cybersécurité afin de disposer d'un « solide pare-feu humain ».

La hausse des rançongiciels et autres cybermenaces pendant la pandémie attire l'attention d'autres établissements de santé. L'hôpital Cedars-Sinai, par exemple, a déployé « une série d'outils » pour protéger l'organisation des ransomwares et de différents risques, selon son DSI Darren Dworkin. Le département IT a notamment étendu l'infrastructure de virtualisation des postes de travail pour prendre en compte le nombre d'employés supplémentaires travaillant depuis leur domicile, et il a déployé des outils de monitoring sur les ordinateurs domestiques. « Pour l'essentiel, il s'agit de se renforcer partout, ce qui inclut le fait de s'appuyer sur des SOCs (centres d'opérations de sécurité) et des outils pour gérer les incidents », a expliqué Darren Dworkin à nos confrères de CIO.com.

Les ransomwares trônent en tête des préoccupations

Le Dr Sam Amirfar, DSI du centre hospitalier de Brooklyn, constate que le nombre de bots qui circulent à la recherche de failles a augmenté de façon exponentielle depuis qu'il a rejoint son organisation actuelle en 2014. Les bots repèrent des vulnérabilités et en informent des cybermalfaiteurs humains, qui peuvent ensuite déposer des charges ciblées dans les établissements pour introduire des ransomwares. « Vous seriez étonnés de voir à quel point certaines attaques sont sophistiquées », confie Sam Amirfar à CIO.com. Le DSI attribue cette augmentation des attaques sur les systèmes de santé à la hausse des outils de hacking sophistiqués et des cryptomonnaies comme le Bitcoin, qui facilite les paiements anonymes pour les cybercriminels. Il redoute en particulier que ces derniers parviennent à duper des collaborateurs médicaux qui souffrent de fatigue constante et de stress à cause de la pandémie, en les incitant à cliquer sur des liens malveillants dans les e-mails et textos. Même si le centre de Brooklyn est petit - un établissement unique doté d'environ 200 lits, sa proximité avec la salle Barclays Center, qui accueille des tournois professionnels de basketball et des concerts parmi d'autres événements, en fait une cible potentielle.

Sam Amirfar évoque l'hypothèse suivante : « Supposez qu'une pop-star se blesse la jambe durant un concert au Barclays Center et soit conduite à l'hôpital pour être prise en charge. Si l'information est rendue publique, cela ferait de l'hôpital une cible toute désignée. » Le DSI craint qu'un pirate puisse lancer une attaque par rançongiciel sur l'hôpital, verrouillant ses ordinateurs avec un logiciel de chiffrement et demandant un paiement en Bitcoin pour fournir les clefs de déchiffrement. De tels scénarios plausibles empêchent Sam Amirfar de dormir confortablement la nuit, même s'il travaille avec Cisco Systems pour gérer un SOC pour l'hôpital, qui surveille plus de 2 200 PC et 500 serveurs. Si Cisco détecte un événement suspect, il coupe les systèmes et prévient immédiatement l'équipe de Sam Amirfar. « Cisco a mis en place un grand filet de sécurité », estime Sam Amirfar. En l'espace d'un mois, le centre a enregistré plus de 148 millions d'événements de sécurité qui ont été analysés, puis classés ou bien examinés plus en détail par Cisco. Sur ces 148 millions, 248 ont fait l'objet d'investigations poussées par Cisco, et moins d'un tiers a été remonté à l'équipe de Sam Amirfar pour être résolus. Mais même ainsi, le DSI considère que les hôpitaux sont « des pions dans une grande guerre numérique ». Faisant allusion à l'attaque de SolarWinds, Sam Amirfar ajoute : « Si le département d'État lui-même ne parvient pas à se protéger, je ne vois pas comment nous pourrions le faire. »

Article de Clint Boulton / CIO États-Unis (Adaptation et traduction par Aurélie Chandèze)