Les cybercriminels s'attaquent au secteur de la santé (mais nous pouvons riposter)
Une version de cet article a été publiée dans Cyber Defense Magazine. Elle a été mise à jour pour être publiée ici.
Les cyberattaques sont devenues un mode de vie de nos jours. Les gens s'attendent presque à entendre parler d'une nouvelle vulnérabilité ou d'une nouvelle brèche qui affecte tout, des banques à l'aviation, ou des dispositifs aussi divers que les smartphones et les feux de circulation. Même nos maisons ne sont plus totalement sûres. Des villes entières sont attaquées presque quotidiennement par des criminels qui réclament des millions de dollars de rançon pour rétablir les services essentiels compromis.
Mais il y a un endroit où l'on peut espérer se sentir encore en sécurité, c'est le cabinet du médecin ou même l'hôpital. C'est lorsqu'ils s'adressent à un prestataire de soins de santé que les gens sont le plus vulnérables. La décence humaine exigerait presque que les cliniciens locaux soient autorisés à faire leur noble travail en toute tranquillité. Malheureusement, ce n'est pas le cas. Il semble que les cyber-voleurs d'aujourd'hui aient peu d'honneur, ou peut-être même qu'ils soient purement et simplement désespérés. En fait, les soins de santé pourraient être le prochain "grand" champ de bataille de la cybersécurité, les criminels s'attaquant aux machines mêmes qui diagnostiquent les problèmes médicaux, fournissent des traitements et maintiennent la vie. Face à la crise sanitaire mondiale qui se déroule sous nos yeux, il est essentiel de s'attaquer à ce problème à plusieurs niveaux.
Les menaces deviennent plus personnelles que jamais.
Les attaques contre le secteur de la santé ne sont pas nouvelles. Les cybercriminels connaissent déjà la valeur des informations sur les patients, des données personnelles et des dossiers financiers dans le monde interlope et sur le dark web. Ces informations peuvent être utilisées pour voler de l'argent directement aux patients ou comme point de départ d'attaques secondaires telles que le phishing et d'autres escroqueries. Il n'est donc pas étonnant que les attaques les plus dévastatrices aient récemment visé le secteur de la santé. Anthem Healthcare s'est fait voler 80 millions de dossiers de patients. Premera a perdu 11 millions de dossiers personnels. CareFirst a perdu 1,1 million de dossiers, et la liste est encore longue.
À l'heure actuelle, les attaques menées directement contre des dispositifs médicaux semblent rares. Cependant, au moins un rapport suggère que le problème pourrait être beaucoup plus répandu, les hôpitaux ne signalant pas les intrusions, ou les employés non formés à la cybersécurité ne reconnaissant tout simplement pas qu'une attaque est en train de se dérouler sous leurs yeux. Les chercheurs en sécurité ont démontré de manière concluante qu'il était possible de compromettre les dispositifs médicaux de manière effrayante, par exemple en utilisant des logiciels malveillants pour ajouter de fausses tumeurs aux résultats des examens de tomodensitométrie et d'IRM. Il n'est pas très difficile de penser que les attaquants peuvent déjà faire la même chose ou des choses similaires avec des appareils médicaux dans le monde réel.
Les soins de santé sont également particulièrement vulnérables aux cyberattaques en raison de leur dépendance croissante à l'égard des dispositifs de l'internet des objets (IdO), de minuscules capteurs connectés à l'internet et produisant d'incroyables volumes d'informations. La plupart du temps, la sécurisation des informations produites par ces capteurs, des canaux qu'ils utilisent pour communiquer, voire des capteurs eux-mêmes, n'a guère été envisagée qu'après coup. Le nombre de vulnérabilités potentielles qu'un attaquant pourrait exploiter en se cachant dans ces réseaux dominés par l'IdO est probablement presque illimité.
L'IdO dans les soins de santé présente des risques importants.
Les services essentiels aux soins des patients, qui dans certains cas n'étaient même pas imaginés il y a 20 ans, sont des terrains propices aux vulnérabilités liées à l'IdO et à d'autres vulnérabilités plus traditionnelles. Les dossiers médicaux électroniques, la télémédecine et la santé mobile semblaient tous attendre l'afflux d'informations que l'IdO pouvait fournir. Il n'est donc pas étonnant que l'engagement en faveur de l'IdO dans le secteur des soins de santé soit stupéfiant. MarketResearch.com prévoit que d'ici l'année prochaine, le marché de l'IdO dans le secteur des soins de santé atteindra 117 milliards de dollars, et qu'il continuera à se développer à un taux de 15 % chaque année par la suite.
Dans cet environnement, les attaquants compétents peuvent trouver de nombreuses vulnérabilités qui peuvent être utilisées pour exploiter les dispositifs médicaux. Les capteurs IoT intégrés dans les dispositifs médicaux communiquent et produisent généralement leurs données de deux manières. Certains recueillent des données et transmettent ensuite tous leurs résultats directement sur l'internet pour analyse. D'autres utilisent une forme de réseau distribué connue sous le nom de " fog computing ", où les capteurs eux-mêmes forment une sorte de mini-réseau, décidant collectivement des données à partager avec un référentiel ou une plateforme centrale. Ces données peuvent ensuite être traitées ou consultées directement par le personnel soignant.
Les questions de cybersécurité dans le secteur des soins de santé sont d'autant plus compliquées que ce secteur n'a jamais adopté de normes, de méthodes ou de protections en matière de traitement des données, ni ne s'est mis d'accord à ce sujet. Historiquement, le secteur de la santé a été desservi par des fabricants qui proposaient leurs propres technologies propriétaires pour les dispositifs médicaux. Aujourd'hui, cela inclut les capteurs IoT intégrés, les canaux de communication utilisés par les appareils et la plateforme d'analyse des données après leur collecte. Cela fait de la plupart des réseaux hospitaliers un rêve pour les pirates informatiques, ou du moins un excellent terrain d'essai où ils peuvent tout exploiter, des mauvaises configurations de sécurité à une protection insuffisante de la couche de transport. Ils peuvent tout essayer, de la falsification des requêtes intersites aux attaques classiques par injection de XML.
Le contre-pied dont nous avons besoin se trouve juste devant nous.
Malgré les conséquences potentiellement catastrophiques de l'exploitation de ces vulnérabilités, il y a lieu de rester optimiste : ces bogues de sécurité ne sont pas de nouvelles portes dérobées puissantes ouvertes par des cerveaux criminels. Ils sont si courants qu'il est frustrant de les voir apparaître encore et encore. Ils sont en partie dus à l'utilisation d'anciens systèmes qui n'ont pas été corrigés malgré la disponibilité de correctifs, mais l'autre raison est une fois de plus liée au facteur humain. Les développeurs écrivent du code à un rythme effréné et se concentrent sur un produit final lisse et fonctionnel... et non sur les meilleures pratiques en matière de sécurité.
Il y a tout simplement trop de logiciels construits pour que les spécialistes de l'AppSec puissent suivre, et nous ne pouvons pas attendre d'eux qu'ils sauvent constamment la situation avec ces vulnérabilités récurrentes. Il est moins coûteux, plus efficace et clairement plus sûr de ne pas introduire ces vulnérabilités en premier lieu, ce qui signifie que les équipes de sécurité et les développeurs doivent faire un effort supplémentaire pour créer une culture de la sécurité robuste et de bout en bout.
À quoi ressemble exactement une grande culture de la sécurité ? Voici quelques éléments clés :
- Les développeurs disposent des outils et de la formation nécessaires pour éliminer les bogues courants (et comprennent pourquoi il est si important de le faire).
- La formation est complète, facile à assimiler et s'appuie sur les points forts du développeur.
- Les résultats de la formation sont correctement mesurés, à l'aide d'indicateurs et de rapports (il ne s'agit pas simplement de cocher une case et de passer à autre chose).
- L'AppSec et les développeurs commencent à parler le même langage : après tout, dans une culture de sécurité positive, ils travaillent pour atteindre des objectifs similaires.
Le risque de catastrophe reste énorme et va bien au-delà du simple vol du dossier médical d'un patient. L'injection de fausses tumeurs dans un scanner pourrait avoir un effet dévastateur sur une personne qui attend avec impatience de savoir si elle a un cancer. L'échange de médicaments ou la modification des plans de traitement pourrait même entraîner la mort du patient. Mais il suffit qu'un cybercriminel soit prêt à franchir cette limite pour faire du profit, et vous pouvez être sûr que cela se produira. Peut-être que le prochain ransomware ne cryptera pas les données d'un hôpital, mais qu'il ruinera les diagnostics de milliers de patients. Ou peut-être qu'un attaquant menacera de modifier des médicaments s'il n'est pas payé, mettant littéralement des vies en rançon.
Il est clair que nous ne pouvons plus suivre l'approche habituelle en matière de cybersécurité dans les soins de santé. Nous ne pouvons pas compter sur un ou deux spécialistes au sein des organismes de santé pour résoudre tous les problèmes. Au contraire, nous avons besoin de développeurs sensibilisés à la sécurité qui travaillent sur des applications et des dispositifs de santé afin de reconnaître les problèmes potentiels et de les résoudre avant qu'ils ne soient déployés dans les établissements. Et même le personnel de santé pourrait bénéficier d'une formation de base à la cybersécurité.
Il est vrai que rien n'est plus important que votre santé. Dans le secteur des soins de santé, le maintien d'une bonne cybersécurité pour l'avenir dépendra de l'amélioration de la sensibilisation générale à la sécurité dès aujourd'hui. En l'absence de traitement sérieux, ce problème ne fera que s'aggraver.
Les soins de santé pourraient être le prochain "grand" champ de bataille de la cybersécurité, les criminels s'attaquant aux machines qui diagnostiquent les problèmes médicaux, fournissent des traitements et maintiennent la vie.
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée dans Cyber Defense Magazine. Elle a été mise à jour pour être publiée ici.
Les cyberattaques sont devenues un mode de vie de nos jours. Les gens s'attendent presque à entendre parler d'une nouvelle vulnérabilité ou d'une nouvelle brèche qui affecte tout, des banques à l'aviation, ou des dispositifs aussi divers que les smartphones et les feux de circulation. Même nos maisons ne sont plus totalement sûres. Des villes entières sont attaquées presque quotidiennement par des criminels qui réclament des millions de dollars de rançon pour rétablir les services essentiels compromis.
Mais il y a un endroit où l'on peut espérer se sentir encore en sécurité, c'est le cabinet du médecin ou même l'hôpital. C'est lorsqu'ils s'adressent à un prestataire de soins de santé que les gens sont le plus vulnérables. La décence humaine exigerait presque que les cliniciens locaux soient autorisés à faire leur noble travail en toute tranquillité. Malheureusement, ce n'est pas le cas. Il semble que les cyber-voleurs d'aujourd'hui aient peu d'honneur, ou peut-être même qu'ils soient purement et simplement désespérés. En fait, les soins de santé pourraient être le prochain "grand" champ de bataille de la cybersécurité, les criminels s'attaquant aux machines mêmes qui diagnostiquent les problèmes médicaux, fournissent des traitements et maintiennent la vie. Face à la crise sanitaire mondiale qui se déroule sous nos yeux, il est essentiel de s'attaquer à ce problème à plusieurs niveaux.
Les menaces deviennent plus personnelles que jamais.
Les attaques contre le secteur de la santé ne sont pas nouvelles. Les cybercriminels connaissent déjà la valeur des informations sur les patients, des données personnelles et des dossiers financiers dans le monde interlope et sur le dark web. Ces informations peuvent être utilisées pour voler de l'argent directement aux patients ou comme point de départ d'attaques secondaires telles que le phishing et d'autres escroqueries. Il n'est donc pas étonnant que les attaques les plus dévastatrices aient récemment visé le secteur de la santé. Anthem Healthcare s'est fait voler 80 millions de dossiers de patients. Premera a perdu 11 millions de dossiers personnels. CareFirst a perdu 1,1 million de dossiers, et la liste est encore longue.
À l'heure actuelle, les attaques menées directement contre des dispositifs médicaux semblent rares. Cependant, au moins un rapport suggère que le problème pourrait être beaucoup plus répandu, les hôpitaux ne signalant pas les intrusions, ou les employés non formés à la cybersécurité ne reconnaissant tout simplement pas qu'une attaque est en train de se dérouler sous leurs yeux. Les chercheurs en sécurité ont démontré de manière concluante qu'il était possible de compromettre les dispositifs médicaux de manière effrayante, par exemple en utilisant des logiciels malveillants pour ajouter de fausses tumeurs aux résultats des examens de tomodensitométrie et d'IRM. Il n'est pas très difficile de penser que les attaquants peuvent déjà faire la même chose ou des choses similaires avec des appareils médicaux dans le monde réel.
Les soins de santé sont également particulièrement vulnérables aux cyberattaques en raison de leur dépendance croissante à l'égard des dispositifs de l'internet des objets (IdO), de minuscules capteurs connectés à l'internet et produisant d'incroyables volumes d'informations. La plupart du temps, la sécurisation des informations produites par ces capteurs, des canaux qu'ils utilisent pour communiquer, voire des capteurs eux-mêmes, n'a guère été envisagée qu'après coup. Le nombre de vulnérabilités potentielles qu'un attaquant pourrait exploiter en se cachant dans ces réseaux dominés par l'IdO est probablement presque illimité.
L'IdO dans les soins de santé présente des risques importants.
Les services essentiels aux soins des patients, qui dans certains cas n'étaient même pas imaginés il y a 20 ans, sont des terrains propices aux vulnérabilités liées à l'IdO et à d'autres vulnérabilités plus traditionnelles. Les dossiers médicaux électroniques, la télémédecine et la santé mobile semblaient tous attendre l'afflux d'informations que l'IdO pouvait fournir. Il n'est donc pas étonnant que l'engagement en faveur de l'IdO dans le secteur des soins de santé soit stupéfiant. MarketResearch.com prévoit que d'ici l'année prochaine, le marché de l'IdO dans le secteur des soins de santé atteindra 117 milliards de dollars, et qu'il continuera à se développer à un taux de 15 % chaque année par la suite.
Dans cet environnement, les attaquants compétents peuvent trouver de nombreuses vulnérabilités qui peuvent être utilisées pour exploiter les dispositifs médicaux. Les capteurs IoT intégrés dans les dispositifs médicaux communiquent et produisent généralement leurs données de deux manières. Certains recueillent des données et transmettent ensuite tous leurs résultats directement sur l'internet pour analyse. D'autres utilisent une forme de réseau distribué connue sous le nom de " fog computing ", où les capteurs eux-mêmes forment une sorte de mini-réseau, décidant collectivement des données à partager avec un référentiel ou une plateforme centrale. Ces données peuvent ensuite être traitées ou consultées directement par le personnel soignant.
Les questions de cybersécurité dans le secteur des soins de santé sont d'autant plus compliquées que ce secteur n'a jamais adopté de normes, de méthodes ou de protections en matière de traitement des données, ni ne s'est mis d'accord à ce sujet. Historiquement, le secteur de la santé a été desservi par des fabricants qui proposaient leurs propres technologies propriétaires pour les dispositifs médicaux. Aujourd'hui, cela inclut les capteurs IoT intégrés, les canaux de communication utilisés par les appareils et la plateforme d'analyse des données après leur collecte. Cela fait de la plupart des réseaux hospitaliers un rêve pour les pirates informatiques, ou du moins un excellent terrain d'essai où ils peuvent tout exploiter, des mauvaises configurations de sécurité à une protection insuffisante de la couche de transport. Ils peuvent tout essayer, de la falsification des requêtes intersites aux attaques classiques par injection de XML.
Le contre-pied dont nous avons besoin se trouve juste devant nous.
Malgré les conséquences potentiellement catastrophiques de l'exploitation de ces vulnérabilités, il y a lieu de rester optimiste : ces bogues de sécurité ne sont pas de nouvelles portes dérobées puissantes ouvertes par des cerveaux criminels. Ils sont si courants qu'il est frustrant de les voir apparaître encore et encore. Ils sont en partie dus à l'utilisation d'anciens systèmes qui n'ont pas été corrigés malgré la disponibilité de correctifs, mais l'autre raison est une fois de plus liée au facteur humain. Les développeurs écrivent du code à un rythme effréné et se concentrent sur un produit final lisse et fonctionnel... et non sur les meilleures pratiques en matière de sécurité.
Il y a tout simplement trop de logiciels construits pour que les spécialistes de l'AppSec puissent suivre, et nous ne pouvons pas attendre d'eux qu'ils sauvent constamment la situation avec ces vulnérabilités récurrentes. Il est moins coûteux, plus efficace et clairement plus sûr de ne pas introduire ces vulnérabilités en premier lieu, ce qui signifie que les équipes de sécurité et les développeurs doivent faire un effort supplémentaire pour créer une culture de la sécurité robuste et de bout en bout.
À quoi ressemble exactement une grande culture de la sécurité ? Voici quelques éléments clés :
- Les développeurs disposent des outils et de la formation nécessaires pour éliminer les bogues courants (et comprennent pourquoi il est si important de le faire).
- La formation est complète, facile à assimiler et s'appuie sur les points forts du développeur.
- Les résultats de la formation sont correctement mesurés, à l'aide d'indicateurs et de rapports (il ne s'agit pas simplement de cocher une case et de passer à autre chose).
- L'AppSec et les développeurs commencent à parler le même langage : après tout, dans une culture de sécurité positive, ils travaillent pour atteindre des objectifs similaires.
Le risque de catastrophe reste énorme et va bien au-delà du simple vol du dossier médical d'un patient. L'injection de fausses tumeurs dans un scanner pourrait avoir un effet dévastateur sur une personne qui attend avec impatience de savoir si elle a un cancer. L'échange de médicaments ou la modification des plans de traitement pourrait même entraîner la mort du patient. Mais il suffit qu'un cybercriminel soit prêt à franchir cette limite pour faire du profit, et vous pouvez être sûr que cela se produira. Peut-être que le prochain ransomware ne cryptera pas les données d'un hôpital, mais qu'il ruinera les diagnostics de milliers de patients. Ou peut-être qu'un attaquant menacera de modifier des médicaments s'il n'est pas payé, mettant littéralement des vies en rançon.
Il est clair que nous ne pouvons plus suivre l'approche habituelle en matière de cybersécurité dans les soins de santé. Nous ne pouvons pas compter sur un ou deux spécialistes au sein des organismes de santé pour résoudre tous les problèmes. Au contraire, nous avons besoin de développeurs sensibilisés à la sécurité qui travaillent sur des applications et des dispositifs de santé afin de reconnaître les problèmes potentiels et de les résoudre avant qu'ils ne soient déployés dans les établissements. Et même le personnel de santé pourrait bénéficier d'une formation de base à la cybersécurité.
Il est vrai que rien n'est plus important que votre santé. Dans le secteur des soins de santé, le maintien d'une bonne cybersécurité pour l'avenir dépendra de l'amélioration de la sensibilisation générale à la sécurité dès aujourd'hui. En l'absence de traitement sérieux, ce problème ne fera que s'aggraver.
Une version de cet article a été publiée dans Cyber Defense Magazine. Elle a été mise à jour pour être publiée ici.
Les cyberattaques sont devenues un mode de vie de nos jours. Les gens s'attendent presque à entendre parler d'une nouvelle vulnérabilité ou d'une nouvelle brèche qui affecte tout, des banques à l'aviation, ou des dispositifs aussi divers que les smartphones et les feux de circulation. Même nos maisons ne sont plus totalement sûres. Des villes entières sont attaquées presque quotidiennement par des criminels qui réclament des millions de dollars de rançon pour rétablir les services essentiels compromis.
Mais il y a un endroit où l'on peut espérer se sentir encore en sécurité, c'est le cabinet du médecin ou même l'hôpital. C'est lorsqu'ils s'adressent à un prestataire de soins de santé que les gens sont le plus vulnérables. La décence humaine exigerait presque que les cliniciens locaux soient autorisés à faire leur noble travail en toute tranquillité. Malheureusement, ce n'est pas le cas. Il semble que les cyber-voleurs d'aujourd'hui aient peu d'honneur, ou peut-être même qu'ils soient purement et simplement désespérés. En fait, les soins de santé pourraient être le prochain "grand" champ de bataille de la cybersécurité, les criminels s'attaquant aux machines mêmes qui diagnostiquent les problèmes médicaux, fournissent des traitements et maintiennent la vie. Face à la crise sanitaire mondiale qui se déroule sous nos yeux, il est essentiel de s'attaquer à ce problème à plusieurs niveaux.
Les menaces deviennent plus personnelles que jamais.
Les attaques contre le secteur de la santé ne sont pas nouvelles. Les cybercriminels connaissent déjà la valeur des informations sur les patients, des données personnelles et des dossiers financiers dans le monde interlope et sur le dark web. Ces informations peuvent être utilisées pour voler de l'argent directement aux patients ou comme point de départ d'attaques secondaires telles que le phishing et d'autres escroqueries. Il n'est donc pas étonnant que les attaques les plus dévastatrices aient récemment visé le secteur de la santé. Anthem Healthcare s'est fait voler 80 millions de dossiers de patients. Premera a perdu 11 millions de dossiers personnels. CareFirst a perdu 1,1 million de dossiers, et la liste est encore longue.
À l'heure actuelle, les attaques menées directement contre des dispositifs médicaux semblent rares. Cependant, au moins un rapport suggère que le problème pourrait être beaucoup plus répandu, les hôpitaux ne signalant pas les intrusions, ou les employés non formés à la cybersécurité ne reconnaissant tout simplement pas qu'une attaque est en train de se dérouler sous leurs yeux. Les chercheurs en sécurité ont démontré de manière concluante qu'il était possible de compromettre les dispositifs médicaux de manière effrayante, par exemple en utilisant des logiciels malveillants pour ajouter de fausses tumeurs aux résultats des examens de tomodensitométrie et d'IRM. Il n'est pas très difficile de penser que les attaquants peuvent déjà faire la même chose ou des choses similaires avec des appareils médicaux dans le monde réel.
Les soins de santé sont également particulièrement vulnérables aux cyberattaques en raison de leur dépendance croissante à l'égard des dispositifs de l'internet des objets (IdO), de minuscules capteurs connectés à l'internet et produisant d'incroyables volumes d'informations. La plupart du temps, la sécurisation des informations produites par ces capteurs, des canaux qu'ils utilisent pour communiquer, voire des capteurs eux-mêmes, n'a guère été envisagée qu'après coup. Le nombre de vulnérabilités potentielles qu'un attaquant pourrait exploiter en se cachant dans ces réseaux dominés par l'IdO est probablement presque illimité.
L'IdO dans les soins de santé présente des risques importants.
Les services essentiels aux soins des patients, qui dans certains cas n'étaient même pas imaginés il y a 20 ans, sont des terrains propices aux vulnérabilités liées à l'IdO et à d'autres vulnérabilités plus traditionnelles. Les dossiers médicaux électroniques, la télémédecine et la santé mobile semblaient tous attendre l'afflux d'informations que l'IdO pouvait fournir. Il n'est donc pas étonnant que l'engagement en faveur de l'IdO dans le secteur des soins de santé soit stupéfiant. MarketResearch.com prévoit que d'ici l'année prochaine, le marché de l'IdO dans le secteur des soins de santé atteindra 117 milliards de dollars, et qu'il continuera à se développer à un taux de 15 % chaque année par la suite.
Dans cet environnement, les attaquants compétents peuvent trouver de nombreuses vulnérabilités qui peuvent être utilisées pour exploiter les dispositifs médicaux. Les capteurs IoT intégrés dans les dispositifs médicaux communiquent et produisent généralement leurs données de deux manières. Certains recueillent des données et transmettent ensuite tous leurs résultats directement sur l'internet pour analyse. D'autres utilisent une forme de réseau distribué connue sous le nom de " fog computing ", où les capteurs eux-mêmes forment une sorte de mini-réseau, décidant collectivement des données à partager avec un référentiel ou une plateforme centrale. Ces données peuvent ensuite être traitées ou consultées directement par le personnel soignant.
Les questions de cybersécurité dans le secteur des soins de santé sont d'autant plus compliquées que ce secteur n'a jamais adopté de normes, de méthodes ou de protections en matière de traitement des données, ni ne s'est mis d'accord à ce sujet. Historiquement, le secteur de la santé a été desservi par des fabricants qui proposaient leurs propres technologies propriétaires pour les dispositifs médicaux. Aujourd'hui, cela inclut les capteurs IoT intégrés, les canaux de communication utilisés par les appareils et la plateforme d'analyse des données après leur collecte. Cela fait de la plupart des réseaux hospitaliers un rêve pour les pirates informatiques, ou du moins un excellent terrain d'essai où ils peuvent tout exploiter, des mauvaises configurations de sécurité à une protection insuffisante de la couche de transport. Ils peuvent tout essayer, de la falsification des requêtes intersites aux attaques classiques par injection de XML.
Le contre-pied dont nous avons besoin se trouve juste devant nous.
Malgré les conséquences potentiellement catastrophiques de l'exploitation de ces vulnérabilités, il y a lieu de rester optimiste : ces bogues de sécurité ne sont pas de nouvelles portes dérobées puissantes ouvertes par des cerveaux criminels. Ils sont si courants qu'il est frustrant de les voir apparaître encore et encore. Ils sont en partie dus à l'utilisation d'anciens systèmes qui n'ont pas été corrigés malgré la disponibilité de correctifs, mais l'autre raison est une fois de plus liée au facteur humain. Les développeurs écrivent du code à un rythme effréné et se concentrent sur un produit final lisse et fonctionnel... et non sur les meilleures pratiques en matière de sécurité.
Il y a tout simplement trop de logiciels construits pour que les spécialistes de l'AppSec puissent suivre, et nous ne pouvons pas attendre d'eux qu'ils sauvent constamment la situation avec ces vulnérabilités récurrentes. Il est moins coûteux, plus efficace et clairement plus sûr de ne pas introduire ces vulnérabilités en premier lieu, ce qui signifie que les équipes de sécurité et les développeurs doivent faire un effort supplémentaire pour créer une culture de la sécurité robuste et de bout en bout.
À quoi ressemble exactement une grande culture de la sécurité ? Voici quelques éléments clés :
- Les développeurs disposent des outils et de la formation nécessaires pour éliminer les bogues courants (et comprennent pourquoi il est si important de le faire).
- La formation est complète, facile à assimiler et s'appuie sur les points forts du développeur.
- Les résultats de la formation sont correctement mesurés, à l'aide d'indicateurs et de rapports (il ne s'agit pas simplement de cocher une case et de passer à autre chose).
- L'AppSec et les développeurs commencent à parler le même langage : après tout, dans une culture de sécurité positive, ils travaillent pour atteindre des objectifs similaires.
Le risque de catastrophe reste énorme et va bien au-delà du simple vol du dossier médical d'un patient. L'injection de fausses tumeurs dans un scanner pourrait avoir un effet dévastateur sur une personne qui attend avec impatience de savoir si elle a un cancer. L'échange de médicaments ou la modification des plans de traitement pourrait même entraîner la mort du patient. Mais il suffit qu'un cybercriminel soit prêt à franchir cette limite pour faire du profit, et vous pouvez être sûr que cela se produira. Peut-être que le prochain ransomware ne cryptera pas les données d'un hôpital, mais qu'il ruinera les diagnostics de milliers de patients. Ou peut-être qu'un attaquant menacera de modifier des médicaments s'il n'est pas payé, mettant littéralement des vies en rançon.
Il est clair que nous ne pouvons plus suivre l'approche habituelle en matière de cybersécurité dans les soins de santé. Nous ne pouvons pas compter sur un ou deux spécialistes au sein des organismes de santé pour résoudre tous les problèmes. Au contraire, nous avons besoin de développeurs sensibilisés à la sécurité qui travaillent sur des applications et des dispositifs de santé afin de reconnaître les problèmes potentiels et de les résoudre avant qu'ils ne soient déployés dans les établissements. Et même le personnel de santé pourrait bénéficier d'une formation de base à la cybersécurité.
Il est vrai que rien n'est plus important que votre santé. Dans le secteur des soins de santé, le maintien d'une bonne cybersécurité pour l'avenir dépendra de l'amélioration de la sensibilisation générale à la sécurité dès aujourd'hui. En l'absence de traitement sérieux, ce problème ne fera que s'aggraver.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée dans Cyber Defense Magazine. Elle a été mise à jour pour être publiée ici.
Les cyberattaques sont devenues un mode de vie de nos jours. Les gens s'attendent presque à entendre parler d'une nouvelle vulnérabilité ou d'une nouvelle brèche qui affecte tout, des banques à l'aviation, ou des dispositifs aussi divers que les smartphones et les feux de circulation. Même nos maisons ne sont plus totalement sûres. Des villes entières sont attaquées presque quotidiennement par des criminels qui réclament des millions de dollars de rançon pour rétablir les services essentiels compromis.
Mais il y a un endroit où l'on peut espérer se sentir encore en sécurité, c'est le cabinet du médecin ou même l'hôpital. C'est lorsqu'ils s'adressent à un prestataire de soins de santé que les gens sont le plus vulnérables. La décence humaine exigerait presque que les cliniciens locaux soient autorisés à faire leur noble travail en toute tranquillité. Malheureusement, ce n'est pas le cas. Il semble que les cyber-voleurs d'aujourd'hui aient peu d'honneur, ou peut-être même qu'ils soient purement et simplement désespérés. En fait, les soins de santé pourraient être le prochain "grand" champ de bataille de la cybersécurité, les criminels s'attaquant aux machines mêmes qui diagnostiquent les problèmes médicaux, fournissent des traitements et maintiennent la vie. Face à la crise sanitaire mondiale qui se déroule sous nos yeux, il est essentiel de s'attaquer à ce problème à plusieurs niveaux.
Les menaces deviennent plus personnelles que jamais.
Les attaques contre le secteur de la santé ne sont pas nouvelles. Les cybercriminels connaissent déjà la valeur des informations sur les patients, des données personnelles et des dossiers financiers dans le monde interlope et sur le dark web. Ces informations peuvent être utilisées pour voler de l'argent directement aux patients ou comme point de départ d'attaques secondaires telles que le phishing et d'autres escroqueries. Il n'est donc pas étonnant que les attaques les plus dévastatrices aient récemment visé le secteur de la santé. Anthem Healthcare s'est fait voler 80 millions de dossiers de patients. Premera a perdu 11 millions de dossiers personnels. CareFirst a perdu 1,1 million de dossiers, et la liste est encore longue.
À l'heure actuelle, les attaques menées directement contre des dispositifs médicaux semblent rares. Cependant, au moins un rapport suggère que le problème pourrait être beaucoup plus répandu, les hôpitaux ne signalant pas les intrusions, ou les employés non formés à la cybersécurité ne reconnaissant tout simplement pas qu'une attaque est en train de se dérouler sous leurs yeux. Les chercheurs en sécurité ont démontré de manière concluante qu'il était possible de compromettre les dispositifs médicaux de manière effrayante, par exemple en utilisant des logiciels malveillants pour ajouter de fausses tumeurs aux résultats des examens de tomodensitométrie et d'IRM. Il n'est pas très difficile de penser que les attaquants peuvent déjà faire la même chose ou des choses similaires avec des appareils médicaux dans le monde réel.
Les soins de santé sont également particulièrement vulnérables aux cyberattaques en raison de leur dépendance croissante à l'égard des dispositifs de l'internet des objets (IdO), de minuscules capteurs connectés à l'internet et produisant d'incroyables volumes d'informations. La plupart du temps, la sécurisation des informations produites par ces capteurs, des canaux qu'ils utilisent pour communiquer, voire des capteurs eux-mêmes, n'a guère été envisagée qu'après coup. Le nombre de vulnérabilités potentielles qu'un attaquant pourrait exploiter en se cachant dans ces réseaux dominés par l'IdO est probablement presque illimité.
L'IdO dans les soins de santé présente des risques importants.
Les services essentiels aux soins des patients, qui dans certains cas n'étaient même pas imaginés il y a 20 ans, sont des terrains propices aux vulnérabilités liées à l'IdO et à d'autres vulnérabilités plus traditionnelles. Les dossiers médicaux électroniques, la télémédecine et la santé mobile semblaient tous attendre l'afflux d'informations que l'IdO pouvait fournir. Il n'est donc pas étonnant que l'engagement en faveur de l'IdO dans le secteur des soins de santé soit stupéfiant. MarketResearch.com prévoit que d'ici l'année prochaine, le marché de l'IdO dans le secteur des soins de santé atteindra 117 milliards de dollars, et qu'il continuera à se développer à un taux de 15 % chaque année par la suite.
Dans cet environnement, les attaquants compétents peuvent trouver de nombreuses vulnérabilités qui peuvent être utilisées pour exploiter les dispositifs médicaux. Les capteurs IoT intégrés dans les dispositifs médicaux communiquent et produisent généralement leurs données de deux manières. Certains recueillent des données et transmettent ensuite tous leurs résultats directement sur l'internet pour analyse. D'autres utilisent une forme de réseau distribué connue sous le nom de " fog computing ", où les capteurs eux-mêmes forment une sorte de mini-réseau, décidant collectivement des données à partager avec un référentiel ou une plateforme centrale. Ces données peuvent ensuite être traitées ou consultées directement par le personnel soignant.
Les questions de cybersécurité dans le secteur des soins de santé sont d'autant plus compliquées que ce secteur n'a jamais adopté de normes, de méthodes ou de protections en matière de traitement des données, ni ne s'est mis d'accord à ce sujet. Historiquement, le secteur de la santé a été desservi par des fabricants qui proposaient leurs propres technologies propriétaires pour les dispositifs médicaux. Aujourd'hui, cela inclut les capteurs IoT intégrés, les canaux de communication utilisés par les appareils et la plateforme d'analyse des données après leur collecte. Cela fait de la plupart des réseaux hospitaliers un rêve pour les pirates informatiques, ou du moins un excellent terrain d'essai où ils peuvent tout exploiter, des mauvaises configurations de sécurité à une protection insuffisante de la couche de transport. Ils peuvent tout essayer, de la falsification des requêtes intersites aux attaques classiques par injection de XML.
Le contre-pied dont nous avons besoin se trouve juste devant nous.
Malgré les conséquences potentiellement catastrophiques de l'exploitation de ces vulnérabilités, il y a lieu de rester optimiste : ces bogues de sécurité ne sont pas de nouvelles portes dérobées puissantes ouvertes par des cerveaux criminels. Ils sont si courants qu'il est frustrant de les voir apparaître encore et encore. Ils sont en partie dus à l'utilisation d'anciens systèmes qui n'ont pas été corrigés malgré la disponibilité de correctifs, mais l'autre raison est une fois de plus liée au facteur humain. Les développeurs écrivent du code à un rythme effréné et se concentrent sur un produit final lisse et fonctionnel... et non sur les meilleures pratiques en matière de sécurité.
Il y a tout simplement trop de logiciels construits pour que les spécialistes de l'AppSec puissent suivre, et nous ne pouvons pas attendre d'eux qu'ils sauvent constamment la situation avec ces vulnérabilités récurrentes. Il est moins coûteux, plus efficace et clairement plus sûr de ne pas introduire ces vulnérabilités en premier lieu, ce qui signifie que les équipes de sécurité et les développeurs doivent faire un effort supplémentaire pour créer une culture de la sécurité robuste et de bout en bout.
À quoi ressemble exactement une grande culture de la sécurité ? Voici quelques éléments clés :
- Les développeurs disposent des outils et de la formation nécessaires pour éliminer les bogues courants (et comprennent pourquoi il est si important de le faire).
- La formation est complète, facile à assimiler et s'appuie sur les points forts du développeur.
- Les résultats de la formation sont correctement mesurés, à l'aide d'indicateurs et de rapports (il ne s'agit pas simplement de cocher une case et de passer à autre chose).
- L'AppSec et les développeurs commencent à parler le même langage : après tout, dans une culture de sécurité positive, ils travaillent pour atteindre des objectifs similaires.
Le risque de catastrophe reste énorme et va bien au-delà du simple vol du dossier médical d'un patient. L'injection de fausses tumeurs dans un scanner pourrait avoir un effet dévastateur sur une personne qui attend avec impatience de savoir si elle a un cancer. L'échange de médicaments ou la modification des plans de traitement pourrait même entraîner la mort du patient. Mais il suffit qu'un cybercriminel soit prêt à franchir cette limite pour faire du profit, et vous pouvez être sûr que cela se produira. Peut-être que le prochain ransomware ne cryptera pas les données d'un hôpital, mais qu'il ruinera les diagnostics de milliers de patients. Ou peut-être qu'un attaquant menacera de modifier des médicaments s'il n'est pas payé, mettant littéralement des vies en rançon.
Il est clair que nous ne pouvons plus suivre l'approche habituelle en matière de cybersécurité dans les soins de santé. Nous ne pouvons pas compter sur un ou deux spécialistes au sein des organismes de santé pour résoudre tous les problèmes. Au contraire, nous avons besoin de développeurs sensibilisés à la sécurité qui travaillent sur des applications et des dispositifs de santé afin de reconnaître les problèmes potentiels et de les résoudre avant qu'ils ne soient déployés dans les établissements. Et même le personnel de santé pourrait bénéficier d'une formation de base à la cybersécurité.
Il est vrai que rien n'est plus important que votre santé. Dans le secteur des soins de santé, le maintien d'une bonne cybersécurité pour l'avenir dépendra de l'amélioration de la sensibilisation générale à la sécurité dès aujourd'hui. En l'absence de traitement sérieux, ce problème ne fera que s'aggraver.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
La note de confiance révèle la valeur des initiatives d'amélioration de la sécurité par la conception
Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.