Les cybercriminels attaquent les soins de santé (mais nous pouvons riposter)
Une version de cet article a été publiée dans Magazine de cyberdéfense. Il a été mis à jour pour la syndication ici.
Les cyberattaques sont devenues un mode de vie de nos jours. Les gens s'attendent presque à être informés d'une nouvelle vulnérabilité ou d'une nouvelle faille qui touche tout, des banques à l'aviation, ou des appareils aussi divers que les smartphones et les feux de signalisation. Même nos maisons ne sont plus totalement sûres. Villes et villages entiers sont attaqués par des criminels presque tous les jours, les attaquants réclamant des millions de rançons pour rétablir les services critiques compromis.
Mais un endroit où nous pouvions encore nous sentir en sécurité était le cabinet du médecin ou même un hôpital. Les personnes sont les plus vulnérables lorsqu'elles s'adressent à un professionnel de santé. La décence humaine exigerait presque que les cliniciens locaux soient autorisés à faire leur noble travail en paix. Malheureusement, ce n'est pas le cas. Il semble y avoir peu d'honneur « ou peut-être même un pur désespoir » chez les cybervoleurs d'aujourd'hui. En fait, les soins de santé pourraient être le prochain « grand » champ de bataille en matière de cybersécurité, les criminels s'attaquant aux machines mêmes qui diagnostiquent les problèmes médicaux, fournissent des traitements et soutiennent la vie. Alors qu'une crise sanitaire mondiale durable se déroule sous nos yeux, il est essentiel d'y faire face sous de multiples angles.
Les menaces sont de plus en plus personnelles.
Les attaques contre le secteur de la santé ne sont pas nouvelles. Les cybercriminels connaissent déjà la valeur des informations sur les patients, des données personnelles et des dossiers financiers dans le monde souterrain et sur le dark web. Ces informations peuvent être utilisées pour voler de l'argent directement aux patients ou comme point de départ pour des attaques secondaires telles que le phishing et d'autres escroqueries. Il n'est donc pas étonnant que bon nombre des attaques les plus dévastatrices de ces derniers temps aient visé les soins de santé. Hymne 80 millions de dossiers de patients ont été volés dans le secteur de la santé. Premera a perdu 11 millions de fichiers personnels. Soin d'abordAu total, 1,1 million d'enregistrements ont été compromis, et la liste s'allonge encore et encore.
À l'heure actuelle, les attaques visant directement des dispositifs médicaux semblent rares. Cependant, au moins un rapport suggère que le problème pourrait être beaucoup plus répandu, les hôpitaux ne signalant pas les intrusions ou les employés non formés en cybersécurité ne reconnaissant tout simplement pas qu'une attaque se déroule juste devant eux. La capacité de compromettre des dispositifs médicaux de manière effrayante, par exemple en utilisant des logiciels malveillants pour ajouter de fausses tumeurs aux résultats des tomodensitogrammes et des IRM, a été démontré de manière concluante par des chercheurs en sécurité. Il n'est pas exagéré de penser que les attaquants font peut-être déjà des choses identiques ou similaires à l'égard des dispositifs médicaux dans le monde réel.
Le secteur de la santé est également particulièrement vulnérable aux cyberattaques en raison de sa dépendance croissante à l'égard des appareils de l'Internet des objets (IoT), de minuscules capteurs connectés à Internet et qui produisent des volumes d'informations incroyables. Dans l'ensemble, la sécurisation des informations produites par ces capteurs, des canaux qu'ils utilisent pour communiquer, et même des capteurs eux-mêmes, n'a été qu'une question secondaire. Le nombre de vulnérabilités potentielles qu'un attaquant pourrait exploiter en se cachant dans ces réseaux dominés par l'IoT est probablement presque illimité.
L'IoT dans le secteur de la santé présente de sérieux risques.
Les services essentiels aux soins aux patients, qui dans certains cas n'étaient même pas imaginés il y a 20 ans, constituent un terreau fertile pour les vulnérabilités liées à l'IoT et d'autres vulnérabilités plus traditionnelles. Les dossiers médicaux électroniques, la télémédecine et la santé mobile attendaient apparemment l'augmentation des informations que l'IoT pourrait fournir. Il n'est pas étonnant que l'engagement en faveur de l'IoT dans le secteur de la santé soit impressionnant. MarketResearch.com prédit que d'ici l'année prochaine, le marché de l'IoT dans le secteur de la santé atteindra 117 milliards de dollars et continuera de croître à un taux de 15 % chaque année par la suite.
Dans cet environnement, les attaquants expérimentés peuvent trouver de nombreuses vulnérabilités qui peuvent être utilisées pour exploiter des dispositifs médicaux. Les capteurs IoT intégrés aux dispositifs médicaux communiquent et produisent généralement leurs données de deux manières. Certains collectent des données, puis transmettent tous leurs résultats directement sur Internet pour analyse. D'autres utilisent une forme de réseau distribué appelée informatique dans le brouillard où les capteurs eux-mêmes forment une sorte de mini-réseau, décidant collectivement des données à partager avec un référentiel ou une plate-forme centrale. Ces données peuvent ensuite être traitées ultérieurement ou directement consultées par les professionnels de santé.
Le fait que le secteur n'a jamais adopté ni approuvé de normes, de méthodes ou de protections en matière de traitement des données complique encore les problèmes de cybersécurité dans le secteur de la santé. Le secteur de la santé a toujours été desservi par des fabricants qui proposaient leurs propres technologies exclusives pour les dispositifs médicaux. Aujourd'hui, cela inclut les capteurs IoT intégrés, les canaux de communication utilisés par les appareils et la plateforme d'analyse des données après leur collecte. Cela fait de la plupart des réseaux hospitaliers un rêve pour les pirates informatiques, ou du moins un terrain d'essai idéal où ils peuvent exploiter tout, de configurations erronées en matière de sécurité pour protection insuffisante de la couche de transport. Ils peuvent essayer n'importe quoi falsifications de demandes intersites vers le classique Attaques par injection XML.
Le contre-coup dont nous avons besoin est juste devant nous.
Malgré les conséquences potentiellement catastrophiques de ces vulnérabilités étant exploités, il y a de quoi rester optimiste : ces bogues de sécurité ne sont pas de nouvelles portes dérobées puissantes ouvertes par des cerveaux criminels. Ils sont si courants qu'il est frustrant de les voir encore et encore. L'une des raisons pour lesquelles ils apparaissent est due à l'utilisation de systèmes existants qui n'ont pas été corrigés malgré la disponibilité de correctifs, mais l'autre est une fois de plus liée au facteur humain. Les développeurs écrivent du code à un rythme effréné et se concentrent sur un produit final élégant et fonctionnel... et non sur les meilleures pratiques en matière de sécurité.
Il y a tout simplement trop de logiciels en cours de développement pour que les spécialistes de la sécurité des applications puissent suivre le rythme, et nous ne pouvons pas nous attendre à ce qu'ils sauvent constamment la situation avec ces vulnérabilités récurrentes. Il est moins coûteux, plus efficace et nettement plus sûr si ces vulnérabilités ne sont pas introduites dès le départ, ce qui signifie que les équipes de sécurité et les développeurs doivent faire un effort supplémentaire pour créer une culture de sécurité robuste de bout en bout.
À quoi ressemble exactement une bonne culture de sécurité ? Voici quelques éléments clés :
- Les développeurs disposent des outils et de la formation dont ils ont besoin pour corriger les bogues courants (et comprennent pourquoi il est si important de le faire)
- La formation est complète, facile à digérer et met à profit les points forts des développeurs
- Les résultats de la formation sont correctement mesurés, à l'aide de mesures et de rapports (pas simplement un exercice à cocher et à passer à autre chose)
- AppSec et les développeurs commencent à parler le même langage : après tout, dans une culture de sécurité positive, ils s'efforcent d'atteindre des objectifs similaires.
Le risque de catastrophe est toujours énorme et va bien au-delà du simple vol du dossier médical d'un patient. L'injection de fausses tumeurs dans un scanner peut être dévastatrice pour une personne qui attend impatiemment de savoir si elle est atteinte d'un cancer. Et le fait de changer de médicament ou de modifier les plans de traitement pourrait en fait les tuer. Mais il suffit d'un cybercriminel prêt à franchir cette ligne pour réaliser des profits, et vous pouvez garantir que cela se produira. Peut-être que la prochaine escroquerie par rançongiciel ne chiffrera pas les données d'un hôpital, mais ruinera les diagnostics de milliers de patients. Ou peut-être qu'un attaquant menacera de modifier des médicaments s'il n'est pas payé, mettant littéralement des vies en danger contre rançon.
Il est clair que nous ne pouvons plus suivre le statu quo lorsqu'il s'agit de cybersécurité dans le secteur de la santé. Nous ne pouvons pas compter sur un ou deux spécialistes des organisations de santé pour résoudre tous les problèmes. Nous avons plutôt besoin de développeurs soucieux de la sécurité qui travaillent sur des applications et des appareils de santé pour identifier les problèmes potentiels et les résoudre avant leur déploiement dans les établissements. Et même les professionnels de santé pourraient bénéficier d'une formation de base en cybersécurité.
Il est vrai que rien n'est plus important que votre santé. Dans le secteur de la santé, le maintien d'une bonne capacité de cybersécurité pour l'avenir dépendra de la promotion d'une meilleure sensibilisation globale à la sécurité dès aujourd'hui. Sans traitement sérieux, ce problème ne fera qu'empirer.
Les soins de santé pourraient être le prochain « grand » champ de bataille en matière de cybersécurité, les criminels s'attaquant aux machines mêmes qui diagnostiquent les problèmes médicaux, fournissent des traitements et soutiennent la vie.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée dans Magazine de cyberdéfense. Il a été mis à jour pour la syndication ici.
Les cyberattaques sont devenues un mode de vie de nos jours. Les gens s'attendent presque à être informés d'une nouvelle vulnérabilité ou d'une nouvelle faille qui touche tout, des banques à l'aviation, ou des appareils aussi divers que les smartphones et les feux de signalisation. Même nos maisons ne sont plus totalement sûres. Villes et villages entiers sont attaqués par des criminels presque tous les jours, les attaquants réclamant des millions de rançons pour rétablir les services critiques compromis.
Mais un endroit où nous pouvions encore nous sentir en sécurité était le cabinet du médecin ou même un hôpital. Les personnes sont les plus vulnérables lorsqu'elles s'adressent à un professionnel de santé. La décence humaine exigerait presque que les cliniciens locaux soient autorisés à faire leur noble travail en paix. Malheureusement, ce n'est pas le cas. Il semble y avoir peu d'honneur « ou peut-être même un pur désespoir » chez les cybervoleurs d'aujourd'hui. En fait, les soins de santé pourraient être le prochain « grand » champ de bataille en matière de cybersécurité, les criminels s'attaquant aux machines mêmes qui diagnostiquent les problèmes médicaux, fournissent des traitements et soutiennent la vie. Alors qu'une crise sanitaire mondiale durable se déroule sous nos yeux, il est essentiel d'y faire face sous de multiples angles.
Les menaces sont de plus en plus personnelles.
Les attaques contre le secteur de la santé ne sont pas nouvelles. Les cybercriminels connaissent déjà la valeur des informations sur les patients, des données personnelles et des dossiers financiers dans le monde souterrain et sur le dark web. Ces informations peuvent être utilisées pour voler de l'argent directement aux patients ou comme point de départ pour des attaques secondaires telles que le phishing et d'autres escroqueries. Il n'est donc pas étonnant que bon nombre des attaques les plus dévastatrices de ces derniers temps aient visé les soins de santé. Hymne 80 millions de dossiers de patients ont été volés dans le secteur de la santé. Premera a perdu 11 millions de fichiers personnels. Soin d'abordAu total, 1,1 million d'enregistrements ont été compromis, et la liste s'allonge encore et encore.
À l'heure actuelle, les attaques visant directement des dispositifs médicaux semblent rares. Cependant, au moins un rapport suggère que le problème pourrait être beaucoup plus répandu, les hôpitaux ne signalant pas les intrusions ou les employés non formés en cybersécurité ne reconnaissant tout simplement pas qu'une attaque se déroule juste devant eux. La capacité de compromettre des dispositifs médicaux de manière effrayante, par exemple en utilisant des logiciels malveillants pour ajouter de fausses tumeurs aux résultats des tomodensitogrammes et des IRM, a été démontré de manière concluante par des chercheurs en sécurité. Il n'est pas exagéré de penser que les attaquants font peut-être déjà des choses identiques ou similaires à l'égard des dispositifs médicaux dans le monde réel.
Le secteur de la santé est également particulièrement vulnérable aux cyberattaques en raison de sa dépendance croissante à l'égard des appareils de l'Internet des objets (IoT), de minuscules capteurs connectés à Internet et qui produisent des volumes d'informations incroyables. Dans l'ensemble, la sécurisation des informations produites par ces capteurs, des canaux qu'ils utilisent pour communiquer, et même des capteurs eux-mêmes, n'a été qu'une question secondaire. Le nombre de vulnérabilités potentielles qu'un attaquant pourrait exploiter en se cachant dans ces réseaux dominés par l'IoT est probablement presque illimité.
L'IoT dans le secteur de la santé présente de sérieux risques.
Les services essentiels aux soins aux patients, qui dans certains cas n'étaient même pas imaginés il y a 20 ans, constituent un terreau fertile pour les vulnérabilités liées à l'IoT et d'autres vulnérabilités plus traditionnelles. Les dossiers médicaux électroniques, la télémédecine et la santé mobile attendaient apparemment l'augmentation des informations que l'IoT pourrait fournir. Il n'est pas étonnant que l'engagement en faveur de l'IoT dans le secteur de la santé soit impressionnant. MarketResearch.com prédit que d'ici l'année prochaine, le marché de l'IoT dans le secteur de la santé atteindra 117 milliards de dollars et continuera de croître à un taux de 15 % chaque année par la suite.
Dans cet environnement, les attaquants expérimentés peuvent trouver de nombreuses vulnérabilités qui peuvent être utilisées pour exploiter des dispositifs médicaux. Les capteurs IoT intégrés aux dispositifs médicaux communiquent et produisent généralement leurs données de deux manières. Certains collectent des données, puis transmettent tous leurs résultats directement sur Internet pour analyse. D'autres utilisent une forme de réseau distribué appelée informatique dans le brouillard où les capteurs eux-mêmes forment une sorte de mini-réseau, décidant collectivement des données à partager avec un référentiel ou une plate-forme centrale. Ces données peuvent ensuite être traitées ultérieurement ou directement consultées par les professionnels de santé.
Le fait que le secteur n'a jamais adopté ni approuvé de normes, de méthodes ou de protections en matière de traitement des données complique encore les problèmes de cybersécurité dans le secteur de la santé. Le secteur de la santé a toujours été desservi par des fabricants qui proposaient leurs propres technologies exclusives pour les dispositifs médicaux. Aujourd'hui, cela inclut les capteurs IoT intégrés, les canaux de communication utilisés par les appareils et la plateforme d'analyse des données après leur collecte. Cela fait de la plupart des réseaux hospitaliers un rêve pour les pirates informatiques, ou du moins un terrain d'essai idéal où ils peuvent exploiter tout, de configurations erronées en matière de sécurité pour protection insuffisante de la couche de transport. Ils peuvent essayer n'importe quoi falsifications de demandes intersites vers le classique Attaques par injection XML.
Le contre-coup dont nous avons besoin est juste devant nous.
Malgré les conséquences potentiellement catastrophiques de ces vulnérabilités étant exploités, il y a de quoi rester optimiste : ces bogues de sécurité ne sont pas de nouvelles portes dérobées puissantes ouvertes par des cerveaux criminels. Ils sont si courants qu'il est frustrant de les voir encore et encore. L'une des raisons pour lesquelles ils apparaissent est due à l'utilisation de systèmes existants qui n'ont pas été corrigés malgré la disponibilité de correctifs, mais l'autre est une fois de plus liée au facteur humain. Les développeurs écrivent du code à un rythme effréné et se concentrent sur un produit final élégant et fonctionnel... et non sur les meilleures pratiques en matière de sécurité.
Il y a tout simplement trop de logiciels en cours de développement pour que les spécialistes de la sécurité des applications puissent suivre le rythme, et nous ne pouvons pas nous attendre à ce qu'ils sauvent constamment la situation avec ces vulnérabilités récurrentes. Il est moins coûteux, plus efficace et nettement plus sûr si ces vulnérabilités ne sont pas introduites dès le départ, ce qui signifie que les équipes de sécurité et les développeurs doivent faire un effort supplémentaire pour créer une culture de sécurité robuste de bout en bout.
À quoi ressemble exactement une bonne culture de sécurité ? Voici quelques éléments clés :
- Les développeurs disposent des outils et de la formation dont ils ont besoin pour corriger les bogues courants (et comprennent pourquoi il est si important de le faire)
- La formation est complète, facile à digérer et met à profit les points forts des développeurs
- Les résultats de la formation sont correctement mesurés, à l'aide de mesures et de rapports (pas simplement un exercice à cocher et à passer à autre chose)
- AppSec et les développeurs commencent à parler le même langage : après tout, dans une culture de sécurité positive, ils s'efforcent d'atteindre des objectifs similaires.
Le risque de catastrophe est toujours énorme et va bien au-delà du simple vol du dossier médical d'un patient. L'injection de fausses tumeurs dans un scanner peut être dévastatrice pour une personne qui attend impatiemment de savoir si elle est atteinte d'un cancer. Et le fait de changer de médicament ou de modifier les plans de traitement pourrait en fait les tuer. Mais il suffit d'un cybercriminel prêt à franchir cette ligne pour réaliser des profits, et vous pouvez garantir que cela se produira. Peut-être que la prochaine escroquerie par rançongiciel ne chiffrera pas les données d'un hôpital, mais ruinera les diagnostics de milliers de patients. Ou peut-être qu'un attaquant menacera de modifier des médicaments s'il n'est pas payé, mettant littéralement des vies en danger contre rançon.
Il est clair que nous ne pouvons plus suivre le statu quo lorsqu'il s'agit de cybersécurité dans le secteur de la santé. Nous ne pouvons pas compter sur un ou deux spécialistes des organisations de santé pour résoudre tous les problèmes. Nous avons plutôt besoin de développeurs soucieux de la sécurité qui travaillent sur des applications et des appareils de santé pour identifier les problèmes potentiels et les résoudre avant leur déploiement dans les établissements. Et même les professionnels de santé pourraient bénéficier d'une formation de base en cybersécurité.
Il est vrai que rien n'est plus important que votre santé. Dans le secteur de la santé, le maintien d'une bonne capacité de cybersécurité pour l'avenir dépendra de la promotion d'une meilleure sensibilisation globale à la sécurité dès aujourd'hui. Sans traitement sérieux, ce problème ne fera qu'empirer.
Une version de cet article a été publiée dans Magazine de cyberdéfense. Il a été mis à jour pour la syndication ici.
Les cyberattaques sont devenues un mode de vie de nos jours. Les gens s'attendent presque à être informés d'une nouvelle vulnérabilité ou d'une nouvelle faille qui touche tout, des banques à l'aviation, ou des appareils aussi divers que les smartphones et les feux de signalisation. Même nos maisons ne sont plus totalement sûres. Villes et villages entiers sont attaqués par des criminels presque tous les jours, les attaquants réclamant des millions de rançons pour rétablir les services critiques compromis.
Mais un endroit où nous pouvions encore nous sentir en sécurité était le cabinet du médecin ou même un hôpital. Les personnes sont les plus vulnérables lorsqu'elles s'adressent à un professionnel de santé. La décence humaine exigerait presque que les cliniciens locaux soient autorisés à faire leur noble travail en paix. Malheureusement, ce n'est pas le cas. Il semble y avoir peu d'honneur « ou peut-être même un pur désespoir » chez les cybervoleurs d'aujourd'hui. En fait, les soins de santé pourraient être le prochain « grand » champ de bataille en matière de cybersécurité, les criminels s'attaquant aux machines mêmes qui diagnostiquent les problèmes médicaux, fournissent des traitements et soutiennent la vie. Alors qu'une crise sanitaire mondiale durable se déroule sous nos yeux, il est essentiel d'y faire face sous de multiples angles.
Les menaces sont de plus en plus personnelles.
Les attaques contre le secteur de la santé ne sont pas nouvelles. Les cybercriminels connaissent déjà la valeur des informations sur les patients, des données personnelles et des dossiers financiers dans le monde souterrain et sur le dark web. Ces informations peuvent être utilisées pour voler de l'argent directement aux patients ou comme point de départ pour des attaques secondaires telles que le phishing et d'autres escroqueries. Il n'est donc pas étonnant que bon nombre des attaques les plus dévastatrices de ces derniers temps aient visé les soins de santé. Hymne 80 millions de dossiers de patients ont été volés dans le secteur de la santé. Premera a perdu 11 millions de fichiers personnels. Soin d'abordAu total, 1,1 million d'enregistrements ont été compromis, et la liste s'allonge encore et encore.
À l'heure actuelle, les attaques visant directement des dispositifs médicaux semblent rares. Cependant, au moins un rapport suggère que le problème pourrait être beaucoup plus répandu, les hôpitaux ne signalant pas les intrusions ou les employés non formés en cybersécurité ne reconnaissant tout simplement pas qu'une attaque se déroule juste devant eux. La capacité de compromettre des dispositifs médicaux de manière effrayante, par exemple en utilisant des logiciels malveillants pour ajouter de fausses tumeurs aux résultats des tomodensitogrammes et des IRM, a été démontré de manière concluante par des chercheurs en sécurité. Il n'est pas exagéré de penser que les attaquants font peut-être déjà des choses identiques ou similaires à l'égard des dispositifs médicaux dans le monde réel.
Le secteur de la santé est également particulièrement vulnérable aux cyberattaques en raison de sa dépendance croissante à l'égard des appareils de l'Internet des objets (IoT), de minuscules capteurs connectés à Internet et qui produisent des volumes d'informations incroyables. Dans l'ensemble, la sécurisation des informations produites par ces capteurs, des canaux qu'ils utilisent pour communiquer, et même des capteurs eux-mêmes, n'a été qu'une question secondaire. Le nombre de vulnérabilités potentielles qu'un attaquant pourrait exploiter en se cachant dans ces réseaux dominés par l'IoT est probablement presque illimité.
L'IoT dans le secteur de la santé présente de sérieux risques.
Les services essentiels aux soins aux patients, qui dans certains cas n'étaient même pas imaginés il y a 20 ans, constituent un terreau fertile pour les vulnérabilités liées à l'IoT et d'autres vulnérabilités plus traditionnelles. Les dossiers médicaux électroniques, la télémédecine et la santé mobile attendaient apparemment l'augmentation des informations que l'IoT pourrait fournir. Il n'est pas étonnant que l'engagement en faveur de l'IoT dans le secteur de la santé soit impressionnant. MarketResearch.com prédit que d'ici l'année prochaine, le marché de l'IoT dans le secteur de la santé atteindra 117 milliards de dollars et continuera de croître à un taux de 15 % chaque année par la suite.
Dans cet environnement, les attaquants expérimentés peuvent trouver de nombreuses vulnérabilités qui peuvent être utilisées pour exploiter des dispositifs médicaux. Les capteurs IoT intégrés aux dispositifs médicaux communiquent et produisent généralement leurs données de deux manières. Certains collectent des données, puis transmettent tous leurs résultats directement sur Internet pour analyse. D'autres utilisent une forme de réseau distribué appelée informatique dans le brouillard où les capteurs eux-mêmes forment une sorte de mini-réseau, décidant collectivement des données à partager avec un référentiel ou une plate-forme centrale. Ces données peuvent ensuite être traitées ultérieurement ou directement consultées par les professionnels de santé.
Le fait que le secteur n'a jamais adopté ni approuvé de normes, de méthodes ou de protections en matière de traitement des données complique encore les problèmes de cybersécurité dans le secteur de la santé. Le secteur de la santé a toujours été desservi par des fabricants qui proposaient leurs propres technologies exclusives pour les dispositifs médicaux. Aujourd'hui, cela inclut les capteurs IoT intégrés, les canaux de communication utilisés par les appareils et la plateforme d'analyse des données après leur collecte. Cela fait de la plupart des réseaux hospitaliers un rêve pour les pirates informatiques, ou du moins un terrain d'essai idéal où ils peuvent exploiter tout, de configurations erronées en matière de sécurité pour protection insuffisante de la couche de transport. Ils peuvent essayer n'importe quoi falsifications de demandes intersites vers le classique Attaques par injection XML.
Le contre-coup dont nous avons besoin est juste devant nous.
Malgré les conséquences potentiellement catastrophiques de ces vulnérabilités étant exploités, il y a de quoi rester optimiste : ces bogues de sécurité ne sont pas de nouvelles portes dérobées puissantes ouvertes par des cerveaux criminels. Ils sont si courants qu'il est frustrant de les voir encore et encore. L'une des raisons pour lesquelles ils apparaissent est due à l'utilisation de systèmes existants qui n'ont pas été corrigés malgré la disponibilité de correctifs, mais l'autre est une fois de plus liée au facteur humain. Les développeurs écrivent du code à un rythme effréné et se concentrent sur un produit final élégant et fonctionnel... et non sur les meilleures pratiques en matière de sécurité.
Il y a tout simplement trop de logiciels en cours de développement pour que les spécialistes de la sécurité des applications puissent suivre le rythme, et nous ne pouvons pas nous attendre à ce qu'ils sauvent constamment la situation avec ces vulnérabilités récurrentes. Il est moins coûteux, plus efficace et nettement plus sûr si ces vulnérabilités ne sont pas introduites dès le départ, ce qui signifie que les équipes de sécurité et les développeurs doivent faire un effort supplémentaire pour créer une culture de sécurité robuste de bout en bout.
À quoi ressemble exactement une bonne culture de sécurité ? Voici quelques éléments clés :
- Les développeurs disposent des outils et de la formation dont ils ont besoin pour corriger les bogues courants (et comprennent pourquoi il est si important de le faire)
- La formation est complète, facile à digérer et met à profit les points forts des développeurs
- Les résultats de la formation sont correctement mesurés, à l'aide de mesures et de rapports (pas simplement un exercice à cocher et à passer à autre chose)
- AppSec et les développeurs commencent à parler le même langage : après tout, dans une culture de sécurité positive, ils s'efforcent d'atteindre des objectifs similaires.
Le risque de catastrophe est toujours énorme et va bien au-delà du simple vol du dossier médical d'un patient. L'injection de fausses tumeurs dans un scanner peut être dévastatrice pour une personne qui attend impatiemment de savoir si elle est atteinte d'un cancer. Et le fait de changer de médicament ou de modifier les plans de traitement pourrait en fait les tuer. Mais il suffit d'un cybercriminel prêt à franchir cette ligne pour réaliser des profits, et vous pouvez garantir que cela se produira. Peut-être que la prochaine escroquerie par rançongiciel ne chiffrera pas les données d'un hôpital, mais ruinera les diagnostics de milliers de patients. Ou peut-être qu'un attaquant menacera de modifier des médicaments s'il n'est pas payé, mettant littéralement des vies en danger contre rançon.
Il est clair que nous ne pouvons plus suivre le statu quo lorsqu'il s'agit de cybersécurité dans le secteur de la santé. Nous ne pouvons pas compter sur un ou deux spécialistes des organisations de santé pour résoudre tous les problèmes. Nous avons plutôt besoin de développeurs soucieux de la sécurité qui travaillent sur des applications et des appareils de santé pour identifier les problèmes potentiels et les résoudre avant leur déploiement dans les établissements. Et même les professionnels de santé pourraient bénéficier d'une formation de base en cybersécurité.
Il est vrai que rien n'est plus important que votre santé. Dans le secteur de la santé, le maintien d'une bonne capacité de cybersécurité pour l'avenir dépendra de la promotion d'une meilleure sensibilisation globale à la sécurité dès aujourd'hui. Sans traitement sérieux, ce problème ne fera qu'empirer.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée dans Magazine de cyberdéfense. Il a été mis à jour pour la syndication ici.
Les cyberattaques sont devenues un mode de vie de nos jours. Les gens s'attendent presque à être informés d'une nouvelle vulnérabilité ou d'une nouvelle faille qui touche tout, des banques à l'aviation, ou des appareils aussi divers que les smartphones et les feux de signalisation. Même nos maisons ne sont plus totalement sûres. Villes et villages entiers sont attaqués par des criminels presque tous les jours, les attaquants réclamant des millions de rançons pour rétablir les services critiques compromis.
Mais un endroit où nous pouvions encore nous sentir en sécurité était le cabinet du médecin ou même un hôpital. Les personnes sont les plus vulnérables lorsqu'elles s'adressent à un professionnel de santé. La décence humaine exigerait presque que les cliniciens locaux soient autorisés à faire leur noble travail en paix. Malheureusement, ce n'est pas le cas. Il semble y avoir peu d'honneur « ou peut-être même un pur désespoir » chez les cybervoleurs d'aujourd'hui. En fait, les soins de santé pourraient être le prochain « grand » champ de bataille en matière de cybersécurité, les criminels s'attaquant aux machines mêmes qui diagnostiquent les problèmes médicaux, fournissent des traitements et soutiennent la vie. Alors qu'une crise sanitaire mondiale durable se déroule sous nos yeux, il est essentiel d'y faire face sous de multiples angles.
Les menaces sont de plus en plus personnelles.
Les attaques contre le secteur de la santé ne sont pas nouvelles. Les cybercriminels connaissent déjà la valeur des informations sur les patients, des données personnelles et des dossiers financiers dans le monde souterrain et sur le dark web. Ces informations peuvent être utilisées pour voler de l'argent directement aux patients ou comme point de départ pour des attaques secondaires telles que le phishing et d'autres escroqueries. Il n'est donc pas étonnant que bon nombre des attaques les plus dévastatrices de ces derniers temps aient visé les soins de santé. Hymne 80 millions de dossiers de patients ont été volés dans le secteur de la santé. Premera a perdu 11 millions de fichiers personnels. Soin d'abordAu total, 1,1 million d'enregistrements ont été compromis, et la liste s'allonge encore et encore.
À l'heure actuelle, les attaques visant directement des dispositifs médicaux semblent rares. Cependant, au moins un rapport suggère que le problème pourrait être beaucoup plus répandu, les hôpitaux ne signalant pas les intrusions ou les employés non formés en cybersécurité ne reconnaissant tout simplement pas qu'une attaque se déroule juste devant eux. La capacité de compromettre des dispositifs médicaux de manière effrayante, par exemple en utilisant des logiciels malveillants pour ajouter de fausses tumeurs aux résultats des tomodensitogrammes et des IRM, a été démontré de manière concluante par des chercheurs en sécurité. Il n'est pas exagéré de penser que les attaquants font peut-être déjà des choses identiques ou similaires à l'égard des dispositifs médicaux dans le monde réel.
Le secteur de la santé est également particulièrement vulnérable aux cyberattaques en raison de sa dépendance croissante à l'égard des appareils de l'Internet des objets (IoT), de minuscules capteurs connectés à Internet et qui produisent des volumes d'informations incroyables. Dans l'ensemble, la sécurisation des informations produites par ces capteurs, des canaux qu'ils utilisent pour communiquer, et même des capteurs eux-mêmes, n'a été qu'une question secondaire. Le nombre de vulnérabilités potentielles qu'un attaquant pourrait exploiter en se cachant dans ces réseaux dominés par l'IoT est probablement presque illimité.
L'IoT dans le secteur de la santé présente de sérieux risques.
Les services essentiels aux soins aux patients, qui dans certains cas n'étaient même pas imaginés il y a 20 ans, constituent un terreau fertile pour les vulnérabilités liées à l'IoT et d'autres vulnérabilités plus traditionnelles. Les dossiers médicaux électroniques, la télémédecine et la santé mobile attendaient apparemment l'augmentation des informations que l'IoT pourrait fournir. Il n'est pas étonnant que l'engagement en faveur de l'IoT dans le secteur de la santé soit impressionnant. MarketResearch.com prédit que d'ici l'année prochaine, le marché de l'IoT dans le secteur de la santé atteindra 117 milliards de dollars et continuera de croître à un taux de 15 % chaque année par la suite.
Dans cet environnement, les attaquants expérimentés peuvent trouver de nombreuses vulnérabilités qui peuvent être utilisées pour exploiter des dispositifs médicaux. Les capteurs IoT intégrés aux dispositifs médicaux communiquent et produisent généralement leurs données de deux manières. Certains collectent des données, puis transmettent tous leurs résultats directement sur Internet pour analyse. D'autres utilisent une forme de réseau distribué appelée informatique dans le brouillard où les capteurs eux-mêmes forment une sorte de mini-réseau, décidant collectivement des données à partager avec un référentiel ou une plate-forme centrale. Ces données peuvent ensuite être traitées ultérieurement ou directement consultées par les professionnels de santé.
Le fait que le secteur n'a jamais adopté ni approuvé de normes, de méthodes ou de protections en matière de traitement des données complique encore les problèmes de cybersécurité dans le secteur de la santé. Le secteur de la santé a toujours été desservi par des fabricants qui proposaient leurs propres technologies exclusives pour les dispositifs médicaux. Aujourd'hui, cela inclut les capteurs IoT intégrés, les canaux de communication utilisés par les appareils et la plateforme d'analyse des données après leur collecte. Cela fait de la plupart des réseaux hospitaliers un rêve pour les pirates informatiques, ou du moins un terrain d'essai idéal où ils peuvent exploiter tout, de configurations erronées en matière de sécurité pour protection insuffisante de la couche de transport. Ils peuvent essayer n'importe quoi falsifications de demandes intersites vers le classique Attaques par injection XML.
Le contre-coup dont nous avons besoin est juste devant nous.
Malgré les conséquences potentiellement catastrophiques de ces vulnérabilités étant exploités, il y a de quoi rester optimiste : ces bogues de sécurité ne sont pas de nouvelles portes dérobées puissantes ouvertes par des cerveaux criminels. Ils sont si courants qu'il est frustrant de les voir encore et encore. L'une des raisons pour lesquelles ils apparaissent est due à l'utilisation de systèmes existants qui n'ont pas été corrigés malgré la disponibilité de correctifs, mais l'autre est une fois de plus liée au facteur humain. Les développeurs écrivent du code à un rythme effréné et se concentrent sur un produit final élégant et fonctionnel... et non sur les meilleures pratiques en matière de sécurité.
Il y a tout simplement trop de logiciels en cours de développement pour que les spécialistes de la sécurité des applications puissent suivre le rythme, et nous ne pouvons pas nous attendre à ce qu'ils sauvent constamment la situation avec ces vulnérabilités récurrentes. Il est moins coûteux, plus efficace et nettement plus sûr si ces vulnérabilités ne sont pas introduites dès le départ, ce qui signifie que les équipes de sécurité et les développeurs doivent faire un effort supplémentaire pour créer une culture de sécurité robuste de bout en bout.
À quoi ressemble exactement une bonne culture de sécurité ? Voici quelques éléments clés :
- Les développeurs disposent des outils et de la formation dont ils ont besoin pour corriger les bogues courants (et comprennent pourquoi il est si important de le faire)
- La formation est complète, facile à digérer et met à profit les points forts des développeurs
- Les résultats de la formation sont correctement mesurés, à l'aide de mesures et de rapports (pas simplement un exercice à cocher et à passer à autre chose)
- AppSec et les développeurs commencent à parler le même langage : après tout, dans une culture de sécurité positive, ils s'efforcent d'atteindre des objectifs similaires.
Le risque de catastrophe est toujours énorme et va bien au-delà du simple vol du dossier médical d'un patient. L'injection de fausses tumeurs dans un scanner peut être dévastatrice pour une personne qui attend impatiemment de savoir si elle est atteinte d'un cancer. Et le fait de changer de médicament ou de modifier les plans de traitement pourrait en fait les tuer. Mais il suffit d'un cybercriminel prêt à franchir cette ligne pour réaliser des profits, et vous pouvez garantir que cela se produira. Peut-être que la prochaine escroquerie par rançongiciel ne chiffrera pas les données d'un hôpital, mais ruinera les diagnostics de milliers de patients. Ou peut-être qu'un attaquant menacera de modifier des médicaments s'il n'est pas payé, mettant littéralement des vies en danger contre rançon.
Il est clair que nous ne pouvons plus suivre le statu quo lorsqu'il s'agit de cybersécurité dans le secteur de la santé. Nous ne pouvons pas compter sur un ou deux spécialistes des organisations de santé pour résoudre tous les problèmes. Nous avons plutôt besoin de développeurs soucieux de la sécurité qui travaillent sur des applications et des appareils de santé pour identifier les problèmes potentiels et les résoudre avant leur déploiement dans les établissements. Et même les professionnels de santé pourraient bénéficier d'une formation de base en cybersécurité.
Il est vrai que rien n'est plus important que votre santé. Dans le secteur de la santé, le maintien d'une bonne capacité de cybersécurité pour l'avenir dépendra de la promotion d'une meilleure sensibilisation globale à la sécurité dès aujourd'hui. Sans traitement sérieux, ce problème ne fera qu'empirer.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Thèmes et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions Beat the Boss sont désormais disponibles sur demande.
Cybermon 2025 : Vaincre le Boss est désormais accessible toute l'année dans SCW. Mettez en œuvre des défis de sécurité avancés liés à l'IA et au LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite clairement définis et mesurables
Enabler 1 inaugure notre série en 10 parties intitulée « Enablers of Success » en démontrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'assurer la maturité à long terme des programmes.
