Une année de la sécurité ‘chaude’ à cause des rançongiciels

07 décembre 2017

Kaspersky Lab anticipe de fortes perturbations dans le fonctionnement des hôpitaux en raison d’attaques de rançongiciels, entendez des maliciels qui paralysent l’accès aux données par cryptage, après quoi les pirates ne communiquent la ‘clé de déverrouillage’ nécessaire qu’après paiement d’une rançon, en général en monnaie numérique non-traçable (de type bitcoin).

© © iStock/montage

Entre-temps, les exemples d’attaques de type rançongiciel sont devenus légion, avec en 2017 des attaques spectaculaires aux Etats-Unis, en Grande-Bretagne (attaques par dizaines), aux Pays-Bas, etc. Ces attaques confirment les prévisions émises dans un rapport Healthcare d’IDC en 2016 qui estimait que « d’ici 2018, le nombre d’attaques par rançongiciel doublera. » En 2016, près de trois quarts des attaques par maliciel dans les soins de santé étaient de type rançongiciel, tandis que le secteur des soins de santé représentait 88 % de l’ensemble des attaques de type ransomware connues (statistiques américaines).

Le fait que les hôpitaux soit une cible privilégiée pour de telles attaques n’a rien de surprenant. En effet, les rançongiciels sont surtout efficaces dans les organisations où les données volées sont particulièrement critiques en termes de fonctionnement, ce qui incite à verser rapidement les sommes réclamées. A cet égard, les hôpitaux sont évidemment en première ligne, sachant que les pirates sont aussi des êtres humains qui dirigent leurs attaques par priorité sur les cibles les plus vulnérables et préfèrent donc un simple exercice de type ‘minimax’.

Comment se protéger ?

Voilà bien un défi majeur pour les hôpitaux qui ambitionnent certes d’innover, mais font face d’emblée à un déficit d’investissements en sécurité (par rapport à d’autres organisations qui traitent des données critiques, comme les banques). Et pourtant, pas question d’y échapper. D’autant que pour le 25 mai 2018, le respect du nouveau règlement général sur la protection des données (RGPD) sera une obligation. Ce RGPD prévoit en effet que « le responsable du traitement mettra en œuvre les mesures techniques et opérationnelles nécessaires pour garantir un niveau de sécurité approprié au risque.»

Il n’est pas forcément question de mauvaise volonté. Souvent, le recrutement et la fidélisation d’experts en sécurité de qualité posent problème, d’autant que sur un marché de l’emploi particulièrement tendu, d’autres secteurs pouvant offrir des conditions plus attractives (salaire plus élevé, investissements plus importants en sécurité, etc.). Cela étant, les hôpitaux peuvent mettre en avant leur importance sociale et sans doute séduire ainsi des personnes davantage sensibilisées à cette question.

La pénurie d’experts en sécurité n’étant pas prête à s’estomper, de même d’ailleurs que la nécessité de se protéger contre les virus, le hameçonnage et autres, il est indispensable de conscientiser chaque membre de son personnel à cette problématique. Bref, chacun doit devenir un ‘parefeu humain’…

Et au niveau de l’approche de la sécurité, il est sans doute approprié de revoir en profondeur la problématique en fonction d’un monde sans cesse plus connecté, d’un périmètre à protéger toujours plus vague et de l’émergence des soins de santé mobiles. Ce qui imposera forcément une nouvelle approche de l’infrastructure d’information et des structures des réseaux. Ainsi, quels appareils peut-on connecter et quels autres faut-il interdire? Ou comment scinder l’infrastructure en éléments/segments sans pénaliser les fonctionnalités, tout en écartant les systèmes potentiellement dangereux (comme les logiciels dépassés du style Windows XP). Les hôpitaux devront procéder à un ‘tri’ et décider ce qui doit absolument être défendu et ce qui peut le cas échéant être sacrifié. Et construire une défense en profondeur en privilégiant avant tout et surtout la détection rapide et aux multiples endroits des maliciels/rançongiciels.

Le tout avec une idée maîtresse : être prêt. Considérez une attaque par rançongiciel comme un ‘catastrophe’ possible dans un plan de continuité d’activité, ce qui implique les procédures de reprise après sinistre, de limitation des risques (comme le débranchement de l’internet) et de restauration (ainsi, comment s’assurer que le système sur lequel est installée la sauvegarde est bel et bien ‘propre’). Et testez ce plan de rançongiciel!

Last but not least enfin, ayez conscience que l’attaque par rançongiciel est certes une menace majeure, mais pas la seule.

La rédaction vous souhaite ainsi qu’à vos équipes une année 2018 ‘cool’!

Guy Kindermans