Blog

Les cybercriminels s'attaquent au secteur de la santé (mais nous pouvons riposter)

Pieter Danhieux
Publié le 09 juin 2020

Une version de cet article a été publiée dans Cyber Defense Magazine. Elle a été mise à jour pour être publiée ici.

Les cyberattaques sont devenues un mode de vie de nos jours. Les gens s'attendent presque à entendre parler d'une nouvelle vulnérabilité ou d'une nouvelle brèche qui affecte tout, des banques à l'aviation, ou des dispositifs aussi divers que les smartphones et les feux de circulation. Même nos maisons ne sont plus totalement sûres. Des villes entières sont attaquées presque quotidiennement par des criminels qui réclament des millions de dollars de rançon pour rétablir les services essentiels compromis.

Mais il y a un endroit où l'on peut espérer se sentir encore en sécurité, c'est le cabinet du médecin ou même l'hôpital. C'est lorsqu'ils s'adressent à un prestataire de soins de santé que les gens sont le plus vulnérables. La décence humaine exigerait presque que les cliniciens locaux soient autorisés à faire leur noble travail en toute tranquillité. Malheureusement, ce n'est pas le cas. Il semble que les cyber-voleurs d'aujourd'hui aient peu d'honneur, ou peut-être même qu'ils soient purement et simplement désespérés. En fait, les soins de santé pourraient être le prochain "grand" champ de bataille de la cybersécurité, les criminels s'attaquant aux machines mêmes qui diagnostiquent les problèmes médicaux, fournissent des traitements et maintiennent la vie. Face à la crise sanitaire mondiale qui se déroule sous nos yeux, il est essentiel de s'attaquer à ce problème à plusieurs niveaux.

Les menaces deviennent plus personnelles que jamais.

Les attaques contre le secteur de la santé ne sont pas nouvelles. Les cybercriminels connaissent déjà la valeur des informations sur les patients, des données personnelles et des dossiers financiers dans le monde interlope et sur le dark web. Ces informations peuvent être utilisées pour voler de l'argent directement aux patients ou comme point de départ d'attaques secondaires telles que le phishing et d'autres escroqueries. Il n'est donc pas étonnant que les attaques les plus dévastatrices aient récemment visé le secteur de la santé. Anthem Healthcare s'est fait voler 80 millions de dossiers de patients. Premera a perdu 11 millions de dossiers personnels. CareFirst a perdu 1,1 million de dossiers, et la liste est encore longue.

À l'heure actuelle, les attaques menées directement contre des dispositifs médicaux semblent rares. Cependant, au moins un rapport suggère que le problème pourrait être beaucoup plus répandu, les hôpitaux ne signalant pas les intrusions, ou les employés non formés à la cybersécurité ne reconnaissant tout simplement pas qu'une attaque est en train de se dérouler sous leurs yeux. Les chercheurs en sécurité ont démontré de manière concluante qu'il était possible de compromettre les dispositifs médicaux de manière effrayante, par exemple en utilisant des logiciels malveillants pour ajouter de fausses tumeurs aux résultats des examens de tomodensitométrie et d'IRM. Il n'est pas très difficile de penser que les attaquants peuvent déjà faire la même chose ou des choses similaires avec des appareils médicaux dans le monde réel.

Les soins de santé sont également particulièrement vulnérables aux cyberattaques en raison de leur dépendance croissante à l'égard des dispositifs de l'internet des objets (IdO), de minuscules capteurs connectés à l'internet et produisant d'incroyables volumes d'informations. La plupart du temps, la sécurisation des informations produites par ces capteurs, des canaux qu'ils utilisent pour communiquer, voire des capteurs eux-mêmes, n'a guère été envisagée qu'après coup. Le nombre de vulnérabilités potentielles qu'un attaquant pourrait exploiter en se cachant dans ces réseaux dominés par l'IdO est probablement presque illimité.

L'IdO dans les soins de santé présente des risques importants.

Les services essentiels aux soins des patients, qui dans certains cas n'étaient même pas imaginés il y a 20 ans, sont des terrains propices aux vulnérabilités liées à l'IdO et à d'autres vulnérabilités plus traditionnelles. Les dossiers médicaux électroniques, la télémédecine et la santé mobile semblaient tous attendre l'afflux d'informations que l'IdO pouvait fournir. Il n'est donc pas étonnant que l'engagement en faveur de l'IdO dans le secteur des soins de santé soit stupéfiant. MarketResearch.com prévoit que d'ici l'année prochaine, le marché de l'IdO dans le secteur des soins de santé atteindra 117 milliards de dollars, et qu'il continuera à se développer à un taux de 15 % chaque année par la suite.

Dans cet environnement, les attaquants compétents peuvent trouver de nombreuses vulnérabilités qui peuvent être utilisées pour exploiter les dispositifs médicaux. Les capteurs IoT intégrés dans les dispositifs médicaux communiquent et produisent généralement leurs données de deux manières. Certains recueillent des données et transmettent ensuite tous leurs résultats directement sur l'internet pour analyse. D'autres utilisent une forme de réseau distribué connue sous le nom de " fog computing ", où les capteurs eux-mêmes forment une sorte de mini-réseau, décidant collectivement des données à partager avec un référentiel ou une plateforme centrale. Ces données peuvent ensuite être traitées ou consultées directement par le personnel soignant.

Les questions de cybersécurité dans le secteur des soins de santé sont d'autant plus compliquées que ce secteur n'a jamais adopté de normes, de méthodes ou de protections en matière de traitement des données, ni ne s'est mis d'accord à ce sujet. Historiquement, le secteur de la santé a été desservi par des fabricants qui proposaient leurs propres technologies propriétaires pour les dispositifs médicaux. Aujourd'hui, cela inclut les capteurs IoT intégrés, les canaux de communication utilisés par les appareils et la plateforme d'analyse des données après leur collecte. Cela fait de la plupart des réseaux hospitaliers un rêve pour les pirates informatiques, ou du moins un excellent terrain d'essai où ils peuvent tout exploiter, des mauvaises configurations de sécurité à une protection insuffisante de la couche de transport. Ils peuvent tout essayer, de la falsification des requêtes intersites aux attaques classiques par injection de XML.

Le contre-pied dont nous avons besoin se trouve juste devant nous.

Malgré les conséquences potentiellement catastrophiques de l'exploitation de ces vulnérabilités, il y a lieu de rester optimiste : ces bogues de sécurité ne sont pas de nouvelles portes dérobées puissantes ouvertes par des cerveaux criminels. Ils sont si courants qu'il est frustrant de les voir apparaître encore et encore. Ils sont en partie dus à l'utilisation d'anciens systèmes qui n'ont pas été corrigés malgré la disponibilité de correctifs, mais l'autre raison est une fois de plus liée au facteur humain. Les développeurs écrivent du code à un rythme effréné et se concentrent sur un produit final lisse et fonctionnel... et non sur les meilleures pratiques en matière de sécurité.

Il y a tout simplement trop de logiciels construits pour que les spécialistes de l'AppSec puissent suivre, et nous ne pouvons pas attendre d'eux qu'ils sauvent constamment la situation avec ces vulnérabilités récurrentes. Il est moins coûteux, plus efficace et clairement plus sûr de ne pas introduire ces vulnérabilités en premier lieu, ce qui signifie que les équipes de sécurité et les développeurs doivent faire un effort supplémentaire pour créer une culture de la sécurité robuste et de bout en bout.

À quoi ressemble exactement une grande culture de la sécurité ? Voici quelques éléments clés :

  • Les développeurs disposent des outils et de la formation nécessaires pour éliminer les bogues courants (et comprennent pourquoi il est si important de le faire).
  • La formation est complète, facile à assimiler et s'appuie sur les points forts du développeur.
  • Les résultats de la formation sont correctement mesurés, à l'aide d'indicateurs et de rapports (il ne s'agit pas simplement de cocher une case et de passer à autre chose).
  • L'AppSec et les développeurs commencent à parler le même langage : après tout, dans une culture de sécurité positive, ils travaillent pour atteindre des objectifs similaires.

Le risque de catastrophe reste énorme et va bien au-delà du simple vol du dossier médical d'un patient. L'injection de fausses tumeurs dans un scanner pourrait avoir un effet dévastateur sur une personne qui attend avec impatience de savoir si elle a un cancer. L'échange de médicaments ou la modification des plans de traitement pourrait même entraîner la mort du patient. Mais il suffit qu'un cybercriminel soit prêt à franchir cette limite pour faire du profit, et vous pouvez être sûr que cela se produira. Peut-être que le prochain ransomware ne cryptera pas les données d'un hôpital, mais qu'il ruinera les diagnostics de milliers de patients. Ou peut-être qu'un attaquant menacera de modifier des médicaments s'il n'est pas payé, mettant littéralement des vies en rançon.

Il est clair que nous ne pouvons plus suivre l'approche habituelle en matière de cybersécurité dans les soins de santé. Nous ne pouvons pas compter sur un ou deux spécialistes au sein des organismes de santé pour résoudre tous les problèmes. Au contraire, nous avons besoin de développeurs sensibilisés à la sécurité qui travaillent sur des applications et des dispositifs de santé afin de reconnaître les problèmes potentiels et de les résoudre avant qu'ils ne soient déployés dans les établissements. Et même le personnel de santé pourrait bénéficier d'une formation de base à la cybersécurité.

Il est vrai que rien n'est plus important que votre santé. Dans le secteur des soins de santé, le maintien d'une bonne cybersécurité pour l'avenir dépendra de l'amélioration de la sensibilisation générale à la sécurité dès aujourd'hui. En l'absence de traitement sérieux, ce problème ne fera que s'aggraver.

Voir la ressource
Voir la ressource

Les soins de santé pourraient être le prochain "grand" champ de bataille de la cybersécurité, les criminels s'attaquant aux machines qui diagnostiquent les problèmes médicaux, fournissent des traitements et maintiennent la vie.

Vous souhaitez en savoir plus ?

Directeur général, président et cofondateur

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstration
Partager sur :
Auteur
Pieter Danhieux
Publié le 09 juin 2020

Directeur général, président et cofondateur

Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.

Partager sur :

Une version de cet article a été publiée dans Cyber Defense Magazine. Elle a été mise à jour pour être publiée ici.

Les cyberattaques sont devenues un mode de vie de nos jours. Les gens s'attendent presque à entendre parler d'une nouvelle vulnérabilité ou d'une nouvelle brèche qui affecte tout, des banques à l'aviation, ou des dispositifs aussi divers que les smartphones et les feux de circulation. Même nos maisons ne sont plus totalement sûres. Des villes entières sont attaquées presque quotidiennement par des criminels qui réclament des millions de dollars de rançon pour rétablir les services essentiels compromis.

Mais il y a un endroit où l'on peut espérer se sentir encore en sécurité, c'est le cabinet du médecin ou même l'hôpital. C'est lorsqu'ils s'adressent à un prestataire de soins de santé que les gens sont le plus vulnérables. La décence humaine exigerait presque que les cliniciens locaux soient autorisés à faire leur noble travail en toute tranquillité. Malheureusement, ce n'est pas le cas. Il semble que les cyber-voleurs d'aujourd'hui aient peu d'honneur, ou peut-être même qu'ils soient purement et simplement désespérés. En fait, les soins de santé pourraient être le prochain "grand" champ de bataille de la cybersécurité, les criminels s'attaquant aux machines mêmes qui diagnostiquent les problèmes médicaux, fournissent des traitements et maintiennent la vie. Face à la crise sanitaire mondiale qui se déroule sous nos yeux, il est essentiel de s'attaquer à ce problème à plusieurs niveaux.

Les menaces deviennent plus personnelles que jamais.

Les attaques contre le secteur de la santé ne sont pas nouvelles. Les cybercriminels connaissent déjà la valeur des informations sur les patients, des données personnelles et des dossiers financiers dans le monde interlope et sur le dark web. Ces informations peuvent être utilisées pour voler de l'argent directement aux patients ou comme point de départ d'attaques secondaires telles que le phishing et d'autres escroqueries. Il n'est donc pas étonnant que les attaques les plus dévastatrices aient récemment visé le secteur de la santé. Anthem Healthcare s'est fait voler 80 millions de dossiers de patients. Premera a perdu 11 millions de dossiers personnels. CareFirst a perdu 1,1 million de dossiers, et la liste est encore longue.

À l'heure actuelle, les attaques menées directement contre des dispositifs médicaux semblent rares. Cependant, au moins un rapport suggère que le problème pourrait être beaucoup plus répandu, les hôpitaux ne signalant pas les intrusions, ou les employés non formés à la cybersécurité ne reconnaissant tout simplement pas qu'une attaque est en train de se dérouler sous leurs yeux. Les chercheurs en sécurité ont démontré de manière concluante qu'il était possible de compromettre les dispositifs médicaux de manière effrayante, par exemple en utilisant des logiciels malveillants pour ajouter de fausses tumeurs aux résultats des examens de tomodensitométrie et d'IRM. Il n'est pas très difficile de penser que les attaquants peuvent déjà faire la même chose ou des choses similaires avec des appareils médicaux dans le monde réel.

Les soins de santé sont également particulièrement vulnérables aux cyberattaques en raison de leur dépendance croissante à l'égard des dispositifs de l'internet des objets (IdO), de minuscules capteurs connectés à l'internet et produisant d'incroyables volumes d'informations. La plupart du temps, la sécurisation des informations produites par ces capteurs, des canaux qu'ils utilisent pour communiquer, voire des capteurs eux-mêmes, n'a guère été envisagée qu'après coup. Le nombre de vulnérabilités potentielles qu'un attaquant pourrait exploiter en se cachant dans ces réseaux dominés par l'IdO est probablement presque illimité.

L'IdO dans les soins de santé présente des risques importants.

Les services essentiels aux soins des patients, qui dans certains cas n'étaient même pas imaginés il y a 20 ans, sont des terrains propices aux vulnérabilités liées à l'IdO et à d'autres vulnérabilités plus traditionnelles. Les dossiers médicaux électroniques, la télémédecine et la santé mobile semblaient tous attendre l'afflux d'informations que l'IdO pouvait fournir. Il n'est donc pas étonnant que l'engagement en faveur de l'IdO dans le secteur des soins de santé soit stupéfiant. MarketResearch.com prévoit que d'ici l'année prochaine, le marché de l'IdO dans le secteur des soins de santé atteindra 117 milliards de dollars, et qu'il continuera à se développer à un taux de 15 % chaque année par la suite.

Dans cet environnement, les attaquants compétents peuvent trouver de nombreuses vulnérabilités qui peuvent être utilisées pour exploiter les dispositifs médicaux. Les capteurs IoT intégrés dans les dispositifs médicaux communiquent et produisent généralement leurs données de deux manières. Certains recueillent des données et transmettent ensuite tous leurs résultats directement sur l'internet pour analyse. D'autres utilisent une forme de réseau distribué connue sous le nom de " fog computing ", où les capteurs eux-mêmes forment une sorte de mini-réseau, décidant collectivement des données à partager avec un référentiel ou une plateforme centrale. Ces données peuvent ensuite être traitées ou consultées directement par le personnel soignant.

Les questions de cybersécurité dans le secteur des soins de santé sont d'autant plus compliquées que ce secteur n'a jamais adopté de normes, de méthodes ou de protections en matière de traitement des données, ni ne s'est mis d'accord à ce sujet. Historiquement, le secteur de la santé a été desservi par des fabricants qui proposaient leurs propres technologies propriétaires pour les dispositifs médicaux. Aujourd'hui, cela inclut les capteurs IoT intégrés, les canaux de communication utilisés par les appareils et la plateforme d'analyse des données après leur collecte. Cela fait de la plupart des réseaux hospitaliers un rêve pour les pirates informatiques, ou du moins un excellent terrain d'essai où ils peuvent tout exploiter, des mauvaises configurations de sécurité à une protection insuffisante de la couche de transport. Ils peuvent tout essayer, de la falsification des requêtes intersites aux attaques classiques par injection de XML.

Le contre-pied dont nous avons besoin se trouve juste devant nous.

Malgré les conséquences potentiellement catastrophiques de l'exploitation de ces vulnérabilités, il y a lieu de rester optimiste : ces bogues de sécurité ne sont pas de nouvelles portes dérobées puissantes ouvertes par des cerveaux criminels. Ils sont si courants qu'il est frustrant de les voir apparaître encore et encore. Ils sont en partie dus à l'utilisation d'anciens systèmes qui n'ont pas été corrigés malgré la disponibilité de correctifs, mais l'autre raison est une fois de plus liée au facteur humain. Les développeurs écrivent du code à un rythme effréné et se concentrent sur un produit final lisse et fonctionnel... et non sur les meilleures pratiques en matière de sécurité.

Il y a tout simplement trop de logiciels construits pour que les spécialistes de l'AppSec puissent suivre, et nous ne pouvons pas attendre d'eux qu'ils sauvent constamment la situation avec ces vulnérabilités récurrentes. Il est moins coûteux, plus efficace et clairement plus sûr de ne pas introduire ces vulnérabilités en premier lieu, ce qui signifie que les équipes de sécurité et les développeurs doivent faire un effort supplémentaire pour créer une culture de la sécurité robuste et de bout en bout.

À quoi ressemble exactement une grande culture de la sécurité ? Voici quelques éléments clés :

  • Les développeurs disposent des outils et de la formation nécessaires pour éliminer les bogues courants (et comprennent pourquoi il est si important de le faire).
  • La formation est complète, facile à assimiler et s'appuie sur les points forts du développeur.
  • Les résultats de la formation sont correctement mesurés, à l'aide d'indicateurs et de rapports (il ne s'agit pas simplement de cocher une case et de passer à autre chose).
  • L'AppSec et les développeurs commencent à parler le même langage : après tout, dans une culture de sécurité positive, ils travaillent pour atteindre des objectifs similaires.

Le risque de catastrophe reste énorme et va bien au-delà du simple vol du dossier médical d'un patient. L'injection de fausses tumeurs dans un scanner pourrait avoir un effet dévastateur sur une personne qui attend avec impatience de savoir si elle a un cancer. L'échange de médicaments ou la modification des plans de traitement pourrait même entraîner la mort du patient. Mais il suffit qu'un cybercriminel soit prêt à franchir cette limite pour faire du profit, et vous pouvez être sûr que cela se produira. Peut-être que le prochain ransomware ne cryptera pas les données d'un hôpital, mais qu'il ruinera les diagnostics de milliers de patients. Ou peut-être qu'un attaquant menacera de modifier des médicaments s'il n'est pas payé, mettant littéralement des vies en rançon.

Il est clair que nous ne pouvons plus suivre l'approche habituelle en matière de cybersécurité dans les soins de santé. Nous ne pouvons pas compter sur un ou deux spécialistes au sein des organismes de santé pour résoudre tous les problèmes. Au contraire, nous avons besoin de développeurs sensibilisés à la sécurité qui travaillent sur des applications et des dispositifs de santé afin de reconnaître les problèmes potentiels et de les résoudre avant qu'ils ne soient déployés dans les établissements. Et même le personnel de santé pourrait bénéficier d'une formation de base à la cybersécurité.

Il est vrai que rien n'est plus important que votre santé. Dans le secteur des soins de santé, le maintien d'une bonne cybersécurité pour l'avenir dépendra de l'amélioration de la sensibilisation générale à la sécurité dès aujourd'hui. En l'absence de traitement sérieux, ce problème ne fera que s'aggraver.

Voir la ressource
Voir la ressource

Remplissez le formulaire ci-dessous pour télécharger le rapport

Nous aimerions que vous nous autorisiez à vous envoyer des informations sur nos produits et/ou sur des sujets liés au codage sécurisé. Nous traiterons toujours vos données personnelles avec le plus grand soin et ne les vendrons jamais à d'autres entreprises à des fins de marketing.

Soumettre
Pour soumettre le formulaire, veuillez activer les cookies "Analytics". N'hésitez pas à les désactiver à nouveau une fois que vous aurez terminé.

Une version de cet article a été publiée dans Cyber Defense Magazine. Elle a été mise à jour pour être publiée ici.

Les cyberattaques sont devenues un mode de vie de nos jours. Les gens s'attendent presque à entendre parler d'une nouvelle vulnérabilité ou d'une nouvelle brèche qui affecte tout, des banques à l'aviation, ou des dispositifs aussi divers que les smartphones et les feux de circulation. Même nos maisons ne sont plus totalement sûres. Des villes entières sont attaquées presque quotidiennement par des criminels qui réclament des millions de dollars de rançon pour rétablir les services essentiels compromis.

Mais il y a un endroit où l'on peut espérer se sentir encore en sécurité, c'est le cabinet du médecin ou même l'hôpital. C'est lorsqu'ils s'adressent à un prestataire de soins de santé que les gens sont le plus vulnérables. La décence humaine exigerait presque que les cliniciens locaux soient autorisés à faire leur noble travail en toute tranquillité. Malheureusement, ce n'est pas le cas. Il semble que les cyber-voleurs d'aujourd'hui aient peu d'honneur, ou peut-être même qu'ils soient purement et simplement désespérés. En fait, les soins de santé pourraient être le prochain "grand" champ de bataille de la cybersécurité, les criminels s'attaquant aux machines mêmes qui diagnostiquent les problèmes médicaux, fournissent des traitements et maintiennent la vie. Face à la crise sanitaire mondiale qui se déroule sous nos yeux, il est essentiel de s'attaquer à ce problème à plusieurs niveaux.

Les menaces deviennent plus personnelles que jamais.

Les attaques contre le secteur de la santé ne sont pas nouvelles. Les cybercriminels connaissent déjà la valeur des informations sur les patients, des données personnelles et des dossiers financiers dans le monde interlope et sur le dark web. Ces informations peuvent être utilisées pour voler de l'argent directement aux patients ou comme point de départ d'attaques secondaires telles que le phishing et d'autres escroqueries. Il n'est donc pas étonnant que les attaques les plus dévastatrices aient récemment visé le secteur de la santé. Anthem Healthcare s'est fait voler 80 millions de dossiers de patients. Premera a perdu 11 millions de dossiers personnels. CareFirst a perdu 1,1 million de dossiers, et la liste est encore longue.

À l'heure actuelle, les attaques menées directement contre des dispositifs médicaux semblent rares. Cependant, au moins un rapport suggère que le problème pourrait être beaucoup plus répandu, les hôpitaux ne signalant pas les intrusions, ou les employés non formés à la cybersécurité ne reconnaissant tout simplement pas qu'une attaque est en train de se dérouler sous leurs yeux. Les chercheurs en sécurité ont démontré de manière concluante qu'il était possible de compromettre les dispositifs médicaux de manière effrayante, par exemple en utilisant des logiciels malveillants pour ajouter de fausses tumeurs aux résultats des examens de tomodensitométrie et d'IRM. Il n'est pas très difficile de penser que les attaquants peuvent déjà faire la même chose ou des choses similaires avec des appareils médicaux dans le monde réel.

Les soins de santé sont également particulièrement vulnérables aux cyberattaques en raison de leur dépendance croissante à l'égard des dispositifs de l'internet des objets (IdO), de minuscules capteurs connectés à l'internet et produisant d'incroyables volumes d'informations. La plupart du temps, la sécurisation des informations produites par ces capteurs, des canaux qu'ils utilisent pour communiquer, voire des capteurs eux-mêmes, n'a guère été envisagée qu'après coup. Le nombre de vulnérabilités potentielles qu'un attaquant pourrait exploiter en se cachant dans ces réseaux dominés par l'IdO est probablement presque illimité.

L'IdO dans les soins de santé présente des risques importants.

Les services essentiels aux soins des patients, qui dans certains cas n'étaient même pas imaginés il y a 20 ans, sont des terrains propices aux vulnérabilités liées à l'IdO et à d'autres vulnérabilités plus traditionnelles. Les dossiers médicaux électroniques, la télémédecine et la santé mobile semblaient tous attendre l'afflux d'informations que l'IdO pouvait fournir. Il n'est donc pas étonnant que l'engagement en faveur de l'IdO dans le secteur des soins de santé soit stupéfiant. MarketResearch.com prévoit que d'ici l'année prochaine, le marché de l'IdO dans le secteur des soins de santé atteindra 117 milliards de dollars, et qu'il continuera à se développer à un taux de 15 % chaque année par la suite.

Dans cet environnement, les attaquants compétents peuvent trouver de nombreuses vulnérabilités qui peuvent être utilisées pour exploiter les dispositifs médicaux. Les capteurs IoT intégrés dans les dispositifs médicaux communiquent et produisent généralement leurs données de deux manières. Certains recueillent des données et transmettent ensuite tous leurs résultats directement sur l'internet pour analyse. D'autres utilisent une forme de réseau distribué connue sous le nom de " fog computing ", où les capteurs eux-mêmes forment une sorte de mini-réseau, décidant collectivement des données à partager avec un référentiel ou une plateforme centrale. Ces données peuvent ensuite être traitées ou consultées directement par le personnel soignant.

Les questions de cybersécurité dans le secteur des soins de santé sont d'autant plus compliquées que ce secteur n'a jamais adopté de normes, de méthodes ou de protections en matière de traitement des données, ni ne s'est mis d'accord à ce sujet. Historiquement, le secteur de la santé a été desservi par des fabricants qui proposaient leurs propres technologies propriétaires pour les dispositifs médicaux. Aujourd'hui, cela inclut les capteurs IoT intégrés, les canaux de communication utilisés par les appareils et la plateforme d'analyse des données après leur collecte. Cela fait de la plupart des réseaux hospitaliers un rêve pour les pirates informatiques, ou du moins un excellent terrain d'essai où ils peuvent tout exploiter, des mauvaises configurations de sécurité à une protection insuffisante de la couche de transport. Ils peuvent tout essayer, de la falsification des requêtes intersites aux attaques classiques par injection de XML.

Le contre-pied dont nous avons besoin se trouve juste devant nous.

Malgré les conséquences potentiellement catastrophiques de l'exploitation de ces vulnérabilités, il y a lieu de rester optimiste : ces bogues de sécurité ne sont pas de nouvelles portes dérobées puissantes ouvertes par des cerveaux criminels. Ils sont si courants qu'il est frustrant de les voir apparaître encore et encore. Ils sont en partie dus à l'utilisation d'anciens systèmes qui n'ont pas été corrigés malgré la disponibilité de correctifs, mais l'autre raison est une fois de plus liée au facteur humain. Les développeurs écrivent du code à un rythme effréné et se concentrent sur un produit final lisse et fonctionnel... et non sur les meilleures pratiques en matière de sécurité.

Il y a tout simplement trop de logiciels construits pour que les spécialistes de l'AppSec puissent suivre, et nous ne pouvons pas attendre d'eux qu'ils sauvent constamment la situation avec ces vulnérabilités récurrentes. Il est moins coûteux, plus efficace et clairement plus sûr de ne pas introduire ces vulnérabilités en premier lieu, ce qui signifie que les équipes de sécurité et les développeurs doivent faire un effort supplémentaire pour créer une culture de la sécurité robuste et de bout en bout.

À quoi ressemble exactement une grande culture de la sécurité ? Voici quelques éléments clés :

  • Les développeurs disposent des outils et de la formation nécessaires pour éliminer les bogues courants (et comprennent pourquoi il est si important de le faire).
  • La formation est complète, facile à assimiler et s'appuie sur les points forts du développeur.
  • Les résultats de la formation sont correctement mesurés, à l'aide d'indicateurs et de rapports (il ne s'agit pas simplement de cocher une case et de passer à autre chose).
  • L'AppSec et les développeurs commencent à parler le même langage : après tout, dans une culture de sécurité positive, ils travaillent pour atteindre des objectifs similaires.

Le risque de catastrophe reste énorme et va bien au-delà du simple vol du dossier médical d'un patient. L'injection de fausses tumeurs dans un scanner pourrait avoir un effet dévastateur sur une personne qui attend avec impatience de savoir si elle a un cancer. L'échange de médicaments ou la modification des plans de traitement pourrait même entraîner la mort du patient. Mais il suffit qu'un cybercriminel soit prêt à franchir cette limite pour faire du profit, et vous pouvez être sûr que cela se produira. Peut-être que le prochain ransomware ne cryptera pas les données d'un hôpital, mais qu'il ruinera les diagnostics de milliers de patients. Ou peut-être qu'un attaquant menacera de modifier des médicaments s'il n'est pas payé, mettant littéralement des vies en rançon.

Il est clair que nous ne pouvons plus suivre l'approche habituelle en matière de cybersécurité dans les soins de santé. Nous ne pouvons pas compter sur un ou deux spécialistes au sein des organismes de santé pour résoudre tous les problèmes. Au contraire, nous avons besoin de développeurs sensibilisés à la sécurité qui travaillent sur des applications et des dispositifs de santé afin de reconnaître les problèmes potentiels et de les résoudre avant qu'ils ne soient déployés dans les établissements. Et même le personnel de santé pourrait bénéficier d'une formation de base à la cybersécurité.

Il est vrai que rien n'est plus important que votre santé. Dans le secteur des soins de santé, le maintien d'une bonne cybersécurité pour l'avenir dépendra de l'amélioration de la sensibilisation générale à la sécurité dès aujourd'hui. En l'absence de traitement sérieux, ce problème ne fera que s'aggraver.

Accès aux ressources

Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Voir le rapportRéservez une démonstration
Télécharger le PDF
Voir la ressource
Partager sur :
Vous souhaitez en savoir plus ?

Partager sur :
Auteur
Pieter Danhieux
Publié le 09 juin 2020

Directeur général, président et cofondateur

Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.

Partager sur :

Une version de cet article a été publiée dans Cyber Defense Magazine. Elle a été mise à jour pour être publiée ici.

Les cyberattaques sont devenues un mode de vie de nos jours. Les gens s'attendent presque à entendre parler d'une nouvelle vulnérabilité ou d'une nouvelle brèche qui affecte tout, des banques à l'aviation, ou des dispositifs aussi divers que les smartphones et les feux de circulation. Même nos maisons ne sont plus totalement sûres. Des villes entières sont attaquées presque quotidiennement par des criminels qui réclament des millions de dollars de rançon pour rétablir les services essentiels compromis.

Mais il y a un endroit où l'on peut espérer se sentir encore en sécurité, c'est le cabinet du médecin ou même l'hôpital. C'est lorsqu'ils s'adressent à un prestataire de soins de santé que les gens sont le plus vulnérables. La décence humaine exigerait presque que les cliniciens locaux soient autorisés à faire leur noble travail en toute tranquillité. Malheureusement, ce n'est pas le cas. Il semble que les cyber-voleurs d'aujourd'hui aient peu d'honneur, ou peut-être même qu'ils soient purement et simplement désespérés. En fait, les soins de santé pourraient être le prochain "grand" champ de bataille de la cybersécurité, les criminels s'attaquant aux machines mêmes qui diagnostiquent les problèmes médicaux, fournissent des traitements et maintiennent la vie. Face à la crise sanitaire mondiale qui se déroule sous nos yeux, il est essentiel de s'attaquer à ce problème à plusieurs niveaux.

Les menaces deviennent plus personnelles que jamais.

Les attaques contre le secteur de la santé ne sont pas nouvelles. Les cybercriminels connaissent déjà la valeur des informations sur les patients, des données personnelles et des dossiers financiers dans le monde interlope et sur le dark web. Ces informations peuvent être utilisées pour voler de l'argent directement aux patients ou comme point de départ d'attaques secondaires telles que le phishing et d'autres escroqueries. Il n'est donc pas étonnant que les attaques les plus dévastatrices aient récemment visé le secteur de la santé. Anthem Healthcare s'est fait voler 80 millions de dossiers de patients. Premera a perdu 11 millions de dossiers personnels. CareFirst a perdu 1,1 million de dossiers, et la liste est encore longue.

À l'heure actuelle, les attaques menées directement contre des dispositifs médicaux semblent rares. Cependant, au moins un rapport suggère que le problème pourrait être beaucoup plus répandu, les hôpitaux ne signalant pas les intrusions, ou les employés non formés à la cybersécurité ne reconnaissant tout simplement pas qu'une attaque est en train de se dérouler sous leurs yeux. Les chercheurs en sécurité ont démontré de manière concluante qu'il était possible de compromettre les dispositifs médicaux de manière effrayante, par exemple en utilisant des logiciels malveillants pour ajouter de fausses tumeurs aux résultats des examens de tomodensitométrie et d'IRM. Il n'est pas très difficile de penser que les attaquants peuvent déjà faire la même chose ou des choses similaires avec des appareils médicaux dans le monde réel.

Les soins de santé sont également particulièrement vulnérables aux cyberattaques en raison de leur dépendance croissante à l'égard des dispositifs de l'internet des objets (IdO), de minuscules capteurs connectés à l'internet et produisant d'incroyables volumes d'informations. La plupart du temps, la sécurisation des informations produites par ces capteurs, des canaux qu'ils utilisent pour communiquer, voire des capteurs eux-mêmes, n'a guère été envisagée qu'après coup. Le nombre de vulnérabilités potentielles qu'un attaquant pourrait exploiter en se cachant dans ces réseaux dominés par l'IdO est probablement presque illimité.

L'IdO dans les soins de santé présente des risques importants.

Les services essentiels aux soins des patients, qui dans certains cas n'étaient même pas imaginés il y a 20 ans, sont des terrains propices aux vulnérabilités liées à l'IdO et à d'autres vulnérabilités plus traditionnelles. Les dossiers médicaux électroniques, la télémédecine et la santé mobile semblaient tous attendre l'afflux d'informations que l'IdO pouvait fournir. Il n'est donc pas étonnant que l'engagement en faveur de l'IdO dans le secteur des soins de santé soit stupéfiant. MarketResearch.com prévoit que d'ici l'année prochaine, le marché de l'IdO dans le secteur des soins de santé atteindra 117 milliards de dollars, et qu'il continuera à se développer à un taux de 15 % chaque année par la suite.

Dans cet environnement, les attaquants compétents peuvent trouver de nombreuses vulnérabilités qui peuvent être utilisées pour exploiter les dispositifs médicaux. Les capteurs IoT intégrés dans les dispositifs médicaux communiquent et produisent généralement leurs données de deux manières. Certains recueillent des données et transmettent ensuite tous leurs résultats directement sur l'internet pour analyse. D'autres utilisent une forme de réseau distribué connue sous le nom de " fog computing ", où les capteurs eux-mêmes forment une sorte de mini-réseau, décidant collectivement des données à partager avec un référentiel ou une plateforme centrale. Ces données peuvent ensuite être traitées ou consultées directement par le personnel soignant.

Les questions de cybersécurité dans le secteur des soins de santé sont d'autant plus compliquées que ce secteur n'a jamais adopté de normes, de méthodes ou de protections en matière de traitement des données, ni ne s'est mis d'accord à ce sujet. Historiquement, le secteur de la santé a été desservi par des fabricants qui proposaient leurs propres technologies propriétaires pour les dispositifs médicaux. Aujourd'hui, cela inclut les capteurs IoT intégrés, les canaux de communication utilisés par les appareils et la plateforme d'analyse des données après leur collecte. Cela fait de la plupart des réseaux hospitaliers un rêve pour les pirates informatiques, ou du moins un excellent terrain d'essai où ils peuvent tout exploiter, des mauvaises configurations de sécurité à une protection insuffisante de la couche de transport. Ils peuvent tout essayer, de la falsification des requêtes intersites aux attaques classiques par injection de XML.

Le contre-pied dont nous avons besoin se trouve juste devant nous.

Malgré les conséquences potentiellement catastrophiques de l'exploitation de ces vulnérabilités, il y a lieu de rester optimiste : ces bogues de sécurité ne sont pas de nouvelles portes dérobées puissantes ouvertes par des cerveaux criminels. Ils sont si courants qu'il est frustrant de les voir apparaître encore et encore. Ils sont en partie dus à l'utilisation d'anciens systèmes qui n'ont pas été corrigés malgré la disponibilité de correctifs, mais l'autre raison est une fois de plus liée au facteur humain. Les développeurs écrivent du code à un rythme effréné et se concentrent sur un produit final lisse et fonctionnel... et non sur les meilleures pratiques en matière de sécurité.

Il y a tout simplement trop de logiciels construits pour que les spécialistes de l'AppSec puissent suivre, et nous ne pouvons pas attendre d'eux qu'ils sauvent constamment la situation avec ces vulnérabilités récurrentes. Il est moins coûteux, plus efficace et clairement plus sûr de ne pas introduire ces vulnérabilités en premier lieu, ce qui signifie que les équipes de sécurité et les développeurs doivent faire un effort supplémentaire pour créer une culture de la sécurité robuste et de bout en bout.

À quoi ressemble exactement une grande culture de la sécurité ? Voici quelques éléments clés :

  • Les développeurs disposent des outils et de la formation nécessaires pour éliminer les bogues courants (et comprennent pourquoi il est si important de le faire).
  • La formation est complète, facile à assimiler et s'appuie sur les points forts du développeur.
  • Les résultats de la formation sont correctement mesurés, à l'aide d'indicateurs et de rapports (il ne s'agit pas simplement de cocher une case et de passer à autre chose).
  • L'AppSec et les développeurs commencent à parler le même langage : après tout, dans une culture de sécurité positive, ils travaillent pour atteindre des objectifs similaires.

Le risque de catastrophe reste énorme et va bien au-delà du simple vol du dossier médical d'un patient. L'injection de fausses tumeurs dans un scanner pourrait avoir un effet dévastateur sur une personne qui attend avec impatience de savoir si elle a un cancer. L'échange de médicaments ou la modification des plans de traitement pourrait même entraîner la mort du patient. Mais il suffit qu'un cybercriminel soit prêt à franchir cette limite pour faire du profit, et vous pouvez être sûr que cela se produira. Peut-être que le prochain ransomware ne cryptera pas les données d'un hôpital, mais qu'il ruinera les diagnostics de milliers de patients. Ou peut-être qu'un attaquant menacera de modifier des médicaments s'il n'est pas payé, mettant littéralement des vies en rançon.

Il est clair que nous ne pouvons plus suivre l'approche habituelle en matière de cybersécurité dans les soins de santé. Nous ne pouvons pas compter sur un ou deux spécialistes au sein des organismes de santé pour résoudre tous les problèmes. Au contraire, nous avons besoin de développeurs sensibilisés à la sécurité qui travaillent sur des applications et des dispositifs de santé afin de reconnaître les problèmes potentiels et de les résoudre avant qu'ils ne soient déployés dans les établissements. Et même le personnel de santé pourrait bénéficier d'une formation de base à la cybersécurité.

Il est vrai que rien n'est plus important que votre santé. Dans le secteur des soins de santé, le maintien d'une bonne cybersécurité pour l'avenir dépendra de l'amélioration de la sensibilisation générale à la sécurité dès aujourd'hui. En l'absence de traitement sérieux, ce problème ne fera que s'aggraver.

Table des matières

Télécharger le PDF
Voir la ressource
Vous souhaitez en savoir plus ?

Directeur général, président et cofondateur

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstrationTélécharger
Partager sur :
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles