Les attaques de ransomware sur des hôpitaux français témoignent d’une menace incessante sur le secteur de la santé
Les gestionnaires de mots de passe sont aujourd'hui indispensables pour les fournisseurs de services de santé.
Les attaques de ransomware (ou rançongiciels) ont miné le secteur de la santé l'année dernière. Et 2021 a déjà démarré de manière brutale, comme le montre la récente série d'attaques ciblant des hôpitaux français.
Dashlane avait déjà prédit en 2019 que les activités cybercriminelles commenceraient à affecter des infrastructures critiques, qu'il s'agisse d'hôpitaux ou de centrales nucléaires. Comme le remarque Frédéric Rivain, directeur technique de Dashlane, « c'est malheureusement ce qui se passe aujourd'hui et bien que ces attaques n'aient pas entraîné de décès direct, cela arrivera un jour. Si ces attaques ciblaient des réseaux électriques ou des systèmes de transport (aéroports, gares), cela aurait des conséquences catastrophiques. »
Alors que le secteur de la santé est aux prises avec cette menace incessante, les hôpitaux et autres prestataires de santé pourraient appliquer certaines des leçons tirées de ces attaques dans leurs propres programmes de sécurité. Bien qu'il soit difficile de protéger l'environnement dynamique de la santé quand il manque déjà de ressources, des outils efficaces (comme les gestionnaires de mots de passe) sont simples et peu coûteux à mettre en place.
Que s'est-il passé lors des attaques de ransomware sur des hôpitaux français ?
Dans la même semaine, des cybercriminels ont ciblé deux hôpitaux français avec des ransomwares, poussant le président Emmanuel Macron à consacrer 1 milliard d'euros à une nouvelle stratégie nationale visant à combattre les cyberattaques dans le domaine de la santé.
Les hôpitaux n'ont pas payé la rançon, mais leur activité a tout de même été impactée. Dans l'un des hôpitaux, le personnel a dû annuler des opérations et rediriger les patients vers d'autres établissements pour être soignés. Dans un autre hôpital, quasiment tous les systèmes d'information ont été paralysés, rendant inutilisables les équipements de radiothérapie et d'autres équipements.
Très peu d'informations sont disponibles sur le déroulement des événements ayant entraîné ces attaques. Mais l'Agence nationale de la sécurité des systèmes d'information (ANSSI) pense qu'il pourrait s'agir d'un gang russe connu pour des activités similaires.
Les cybercriminels se sont servi de Ryuk. Ce ransomware a récemment été utilisé dans de nombreuses attaques sur des systèmes de santé dans le monde, comme pour l'attaque de l'année dernière sur Universal Health Services (UHS), un grand fournisseur de services de soins, qui aurait alors perdu environ 67 millions de dollars.
Comme les hôpitaux français, UHS, qui compte 3,5 millions de patients dans 400 établissements américains et britanniques, a dû rediriger les patients et annuler des rendez-vous. Le personnel a également dû revenir à des méthodes sur papier. Il a fallu près d'un mois pour restaurer les systèmes informatiques.
Pourquoi les dernières attaques sont-elles importantes pour le secteur de la santé ?
D'après les médias français, la France a enregistré 27 grandes cyberattaques sur des établissements de santé l'année dernière. Cette année, le rythme est déjà d'une attaque par semaine en moyenne. Mais la France n'est pas la seule dans ce cas.
Aux États-Unis, les attaques de ransomware sur le système de santé sont devenues si préoccupantes l'année dernière que la CISA (Cybersecurity and Infrastructure Security Agency), le FBI et le Department of HHS (Health and Human Services) ont émis une alerte conjointe pour avertir les fournisseurs de cette menace imminente.
« Le CISA, le FBI et le HHS ont déterminé que des cybercriminels ciblaient le secteur de la santé privée et publique par les malwares TrikBot et BazarLoader, qui entraînent souvent des attaques de ransomware, des vols de données et l'interruption des services de santé », peut-on lire dans le communiqué. « Ces problèmes seront particulièrement sérieux pour les entreprises au cœur de la pandémie de COVID-19. Les administrateurs devront donc tenir compte de ce risque lorsqu'ils envisageront d'investir dans des solutions de cybersécurité. »
Ryuk, un problème particulièrement sérieux
Dans son communiqué, le CISA explique que les acteurs malveillants utilisent souvent TrickBot pour déployer une charge utile de Ryuk, un ransomware qui est apparu pour la première fois en 2018. Cette variante est préoccupante, et pas seulement parce qu'elle a déjà été utilisée dans des attaques sur des établissements de santé.
Ryuk, l'une des familles les plus observées en 2020, a évolué. Selon les experts en sécurité, ce ransomware n'a jamais été aussi dangereux, car il est désormais capable de s'autopropager au sein du réseau.
D'après les chercheurs de l'ANSSI, cette variante s'autopropage généralement en compromettant un compte sur un domaine muni de droits administrateurs. Ils pensent que l'un des moyens de mettre fin à son activité est de changer le mot de passe ou de désactiver le compte.
Ryuk n'est que l'une des nombreuses familles de ransomwares à la disposition des cybercriminels. L'année dernière, le ransomware était le type d'attaque le plus populaire, tous secteurs confondus, d'après l'index annuel d'IBM Security X-Force. Le succès de ces attaques, que l'on constate dans tous les secteurs et le monde entier, est très préoccupant, à juste titre.
Pourquoi les gestionnaires de mots de passe sont essentiels
Les mots de passe faibles ou compromis permettent aux cybercriminels non seulement d'accéder à un réseau mais aussi de se déplacer latéralement. Pour s'immiscer dans un réseau, par exemple, ils utilisent généralement des produits prêts à l'emploi, disponibles dans le commerce, pour dérober des identifiants, d'après le CISA. Pour se déplacer latéralement, ils utilisent aussi des outils natifs comme le protocole RDP (Remote Desktop Protocol). Les attaques par force brute qui exploitent des mots de passe faibles, par défaut ou compromis sont une technique courante pour accéder au RDP.
« Quand les ressources sont limitées, il est encore plus important de garantir que le personnel médical est sensibilisé et de sécuriser ce maillon faible par de bonnes habitudes informatiques et de sécurité », explique Frédéric Rivain. « Nul besoin de mettre en place des solutions coûteuses. Mais de la même manière que les dentistes vous apprennent à bien vous brosser les dents et à utiliser du fil dentaire, le personnel médical devrait être formé à bien utiliser ses mots de passe et à reconnaître les tentatives de phishing et les autres attaques d'ingénierie sociale. Les solutions peu coûteuses comme les gestionnaires de mots de passe sont indispensables dans ce cas-là. »
En quoi Dashlane peut-il vous aider ?
Le gestionnaire de mots de passe de Dashlane peut empêcher les ransomwares de s'introduire dans votre système en appliquant des mots de passe forts et en éliminant le risque de mots de passe faibles, par défaut ou compromis. Dashlane est bien plus qu'un gestionnaire de mots de passe. Cette solution vous fournit également des outils simples et efficaces pour comprendre et améliorer les pratiques de votre entreprise en matière de mots de passe.
Pour découvrir comment Dashlane peut aider votre entreprise à utiliser des mots de passe plus sûrs, téléchargez notre e-book, Gestionnaire de mots de passe et cybersécurité : le guide pratique (en anglais).
Inscrivez-vous pour connaître toute l'actualité de Dashlane