Interview : le directeur de Cloudflare France avertit que le secteur de la santé prend du retard dans la sécurité du cloud
Un financement supplémentaire total de 20 millions d’euros (20 millions de dollars) à l’ANSSI a été promis pour aider à améliorer la cyberprotection de l’industrie française de la santé à la suite d’une attaque de ransomware contre le Centre Hospitalier Sud Francilien (CHSF) le 24 août. 2022.
Le financement a été promis par le ministre français de la Transition numérique et des Télécommunications Jean-Noël Barrot et François Braun, ministre de la Santé, qui se sont rendus à l’hôpital touché le 26 août, quelques jours seulement après que l’attaque a été rendue publique.
L’hôpital de 1000 lits situé à 28 km de Paris a été touché par une attaque de ransomware de 10 millions de dollars, s’ajoutant à une liste croissante de centres médicaux français victimes de cyberattaques ces derniers mois.
« [The funding] est bon signe, mais l’argent n’est pas tout », a déclaré Boris Lecoeur, responsable de Cloudfare France. Infosécurité Magazine. Lecoeur, qui a une expérience antérieure avec des prestataires de soins de santé attaqués, a conseillé à l’industrie de s’éloigner de l’approche de sécurité périmétrique et d’adopter Zero Trust.
Infosécurité Le magazine a parlé plus en détail à Lecoeur de son expérience, de la façon dont les pirates pénètrent dans les systèmes et de ce qu’ils devraient faire pour se protéger à l’avenir.
Infosecurity Magazine : Pourquoi les attaquants ciblent-ils de plus en plus les hôpitaux ?
Boris Lecoeur : Tout d’abord, nous constatons une augmentation mondiale des cyberattaques dans tous les secteurs – l’industrie de la santé fait l’objet d’une attention particulière en raison de l’aspect critique des conséquences potentielles.
Ensuite, l’informatique des hôpitaux est généralement très hétérogène, avec un mélange de matériel et de protocoles propriétaires et/ou spécifiques à l’industrie (DICOM) et elle est souvent non corrigée. Nous avons même vu des logiciels obsolètes. Par exemple, il a été constaté que certains des ordinateurs du NHS du Royaume-Uni fonctionnaient sous Windows XP lorsque le rançongiciel WannaCry a annoncé la nouvelle en 2017. Ceci, ainsi que l’hybridité sans cesse croissante des services hébergés localement et cloud, généralement partagés avec les fournisseurs, en font plus difficile de maintenir efficacement l’ensemble du système informatique et d’exploiter la sécurité périmétrique traditionnelle.
De plus, par rapport à l’industrie [OT] partageant cette hétérogénéité d’appareils et de logiciels et l’hybridité des connexions, les réseaux de santé sont beaucoup plus connectés à Internet, ce qui en fait une cible facile pour les attaquants.
IM : Les hôpitaux étaient autrefois la ligne rouge que les cybercriminels n’osaient pas franchir. Pourquoi cela a-t-il changé ?
BL : Je ne sais pas trop si c’est pour des raisons géopolitiques. Pourtant, il semble que certains groupes de pirates qui déclaraient auparavant interdits les prestataires de soins de santé ciblent désormais les hôpitaux de toute façon. C’est le cas de LockBit, un groupe de ransomwares prétendument responsable du piratage du CHSF et dont les règles du programme ransomware-as-a-service (RaaS) interdisent aux affiliés de chiffrer les systèmes des prestataires de soins de santé.
D’un point de vue purement financier, il ne fait aucun doute que l’aspect critique des systèmes de santé en fait un business très lucratif à attaquer.
Dans de nombreux cas, les groupes de pirates utilisent de plus en plus des méthodes de double extorsion, demandant de l’argent pour décrypter les données et empêcher la fuite de ces données sur Internet. [First analysis by French media LeMagIT shows that one such method could have been used to encrypt the French hospital’s systems, using LockBit 3.0.]
IM : D’après votre expérience de travail avec des prestataires de soins de santé, quelle est la méthode typique utilisée pour pirater les systèmes informatiques d’un hôpital ?
BL : Je ne pense pas qu’il y ait beaucoup de différence avec les autres industries, pour être honnête. Nous avons constaté que 91 % de toutes les cyberattaques commencent par un e-mail de phishing. C’est le talon d’Achille de tous les systèmes d’information d’entreprise. Ensuite, un autre vecteur croissant vient des fournisseurs de VPN. Les acteurs de la menace savent que leur utilisation a augmenté, en particulier depuis le début de la nouvelle ère du travail à domicile, et ils sont la première chose qu’ils analysent à la recherche de vulnérabilités.
Ensuite, une fois que les pirates ont infiltré les systèmes, ils peuvent faire tout ce qu’ils veulent. La plupart des hôpitaux n’ont qu’un périmètre de sécurité en place, il est donc difficile de contrôler ce que fait quelqu’un une fois qu’il a obtenu les informations d’identification appropriées. Par exemple, lorsque nous avons audité un de nos clients dans le secteur de la santé, nous nous sommes rendu compte qu’aucun pare-feu applicatif n’était installé sur le réseau. Une fois l’accès accordé, l’auteur de la menace peut déployer des attaques triviales telles que l’injection SQL. Ils peuvent également élever leur accès avec credential stuffing pour accéder à des données plus sensibles.
Avec une telle liberté, les pirates restent généralement quelques jours pour analyser le réseau et lancer le processus de cryptage.
IM : Diriez-vous que le secteur de la santé est en retard en termes de sécurité ?
BL : Je le dirais certainement, du moins en ce qui concerne la France. La plupart des réseaux de soins de santé sont toujours exploités avec une approche de sécurité périmétrique obsolète (tout ce qui se trouve à l’intérieur du réseau est considéré comme fiable). À une époque ultra-connectée, où les acteurs de la menace se dotent d’experts en ingénierie sociale, cela ne peut plus durer.
Le secteur de la santé est également en retard en termes d’adoption de la sécurité dans le cloud.
Cependant, je n’essaie de faire honte à personne. Si vous vous mettez à la place des gestionnaires de budget d’un hôpital, confrontés à investir dans de nouveaux équipements de santé modernes ou à corriger le logiciel existant, ce n’est pas un choix facile. Mais désormais, la cybersécurité doit faire partie des priorités budgétaires de cette industrie.
IM : Que faut-il faire pour améliorer la cybersécurité de ces infrastructures critiques ?
BL : Premièrement, les décideurs en matière de sécurité doivent s’attaquer au problème du phishing avec une meilleure sécurité des e-mails. Une possibilité consiste à installer un logiciel qui isolera chaque lien ouvert par l’utilisateur et identifiera même les tentatives de phishing les plus sophistiquées qui passent les filtres des services Microsoft et Google.
Ensuite, la sécurité doit être appréhendée avec une approche Zero Trust, y compris l’accès le moins privilégié, l’authentification multifacteur (MFA) basée sur le contexte et la micro-segmentation.
C’est pour la grande image. Ensuite, en termes de délais, lorsque les prestataires de santé nous contactent après avoir été attaqués, leur priorité absolue est d’améliorer la sécurité au niveau de l’application (Web Application Firewalls, solutions anti-DDoS et anti-bot). Nous pouvons ensuite passer au déploiement d’une sécurité d’infrastructure améliorée et plus large à l’aide de solutions de sécurité basées sur le cloud.
IM : Que pensez-vous de l’injection de 20 M€ à l’ANSSI pour contribuer à la mise à niveau de la sécurité des réseaux de santé ?
BL : Compte tenu de l’ampleur du problème, 20 millions d’euros ne semblent pas beaucoup, mais c’est certainement un bon signe. Nous avons constaté une augmentation du financement de la cybersécurité dans toutes les industries en France ces dernières années.
Cependant, l’argent n’est pas tout. Lorsque nous avons identifié un problème, il est courant de verser de l’argent pour le résoudre. Mais il y a tant à faire sans dépenser un centime !
Les organisations ont souvent d’excellentes solutions de sécurité installées, mais elles sont mal configurées ou les processus ne sont pas bien mis en œuvre. Je pense que c’est par là que tout RSSI devrait commencer.