Pour un hôpital ou une clinique, la question n’est actuellement pas tant de savoir si un ransomware finira par paralyser ses activités de soin, mais quand. Pour rappel rapide, un ransomware, ou rançongiciel, est une technique d’attaque informatique consistant à infecter une victime avec un logiciel malveillant qui chiffre l’ensemble de ses données en lui réclamant ensuite une rançon en échange de la clé de déchiffrement[1]. Pour le secteur de la santé, cela revient à verrouiller l’accès aux dossiers informatisés des patients pour les professionnels de santé ; l’impact pouvant être vital dans certains cas d’urgence. Les ransomwares sont nombreux, et certains sont baptisés par leurs créateurs de noms laissant deviner leurs desseins :

• Maze, signifiant « labyrinthe » en anglais ;
• Phobos, signifiant « frayeur » en grec ancien ;
• Ryuk, du nom d’un dieu de la mort dans le manga Death Note ;
• RobinHood, du nom du brigand au grand cœur de la forêt de Sherwood.

Selon le white paper de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) concernant l’état de la menace rançongiciel[2], publié en février 2020, 26% des incidents de 2019 relatifs à des attaques par rançongiciels concernent le secteur de la santé (Cf. Fig. 4.4 du white paper), ce qui en fait le secteur favori des cyber-attaquants.

Les attaques informatiques ciblées par ransomwares sont en très nette progression (Cf. Fig. 4.4 du white paper). Leur nombre a décuplé entre le 2^ème trimestre 2017 et le 2^ème trimestre 2019. Et la France n’étant pas dans le top 10 des pays les plus touchés par les ransomwares (Cf. Fig. 4.1 du white paper), cela laissait présager une marge de progression certaine en la matière, a fortiori dans le secteur de la santé.

Le contexte sanitaire actuel lié à la COVID-19 a amplifié le niveau de cyber-menace en France[3], les attaquants profitant de la désorganisation et de la saturation des services de santé pour agir. Aujourd’hui, un ransomware a en effet un impact exacerbé, ce qui permet aux cyber-attaquants d’espérer un taux de paiement des rançons plus important, ce qui se traduit par une succession d’incidents relayés par la presse. Rappelons que la recommandation en la matière est de ne pas payer la rançon. En effet, payer la rançon validerait le modèle économique des cyber-attaquants, financerait les futures attaques, sans pour autant garantir l’obtention de la clé de déchiffrement permettant une sortie de crise rapide.

Cet état de fait étant dressé, que peuvent faire les établissements de santé face au risque ransomware ? Sachez tout d’abord que l’ANSSI a formalisé un guide à ce sujet : « Attaques par rançongiciels, tous concernés : Comment les anticiper et réagir en cas d’incident ? »[4] Ce guide dépeint une suite de mesures de sécurité sur lesquelles SRC Solution peut vous accompagner, et ainsi limiter votre risque de contamination par ransomware. Ainsi, nous travaillerons à limiter la vraisemblance d’un tel scénario, en proposant des mesures préventives, et à limiter l’impact en matière de disponibilité de vos services et de perte de données, en proposant des mesures curatives. Spécialiste de la sécurité et du monde de la santé, SRC Solution a accompagné de nombreux établissements de santé au travers notamment de projets :

• D’état des lieux, permettant de formaliser une feuille de route contextualisée à la structure ;
• De cloisonnements réseaux, permettant de limiter la propagation de ransomwares ;
• De maintien à jour de systèmes et logiciels, notamment antivirus, permettant de limiter la surface d’attaque exposée aux ransomwares ;
• De maîtrise des authentifications et des habilitations utilisateurs, permettant de limiter l’usage illégitime d’accès sensibles par les ransomwares ;
• De mise en œuvre d’un PCA/PRA (Plan de Continuité d’Activité / Plan de Reprise d’Activité), permettant de reconstruire le SIH (Systèmes d’Information Hospitalier) après sinistre ;
• De sensibilisation des utilisateurs, permettant de limiter le facteur humain dans cette équation sécurité.

En cas de besoin, n’hésitez pas à nous contacter pour toute information complémentaire sur nos offres d’accompagnement.

[1] https://www.ssi.gouv.fr/entreprise/principales-menaces/cybercriminalite/rancongiciel/#:~:text=Technique%20d’attaque%20courante%20de,mot%20de%20passe%20de%20d%C3%A9chiffrement

[2] https://www.cert.ssi.gouv.fr/uploads/CERTFR-2020-CTI-001.pdf

[3] https://www.ssi.gouv.fr/actualite/lanssi-et-le-bsi-alertent-sur-le-niveau-de-la-menace-cyber-en-france-et-en-allemagne-dans-le-contexte-de-la-crise-sanitaire/

[4] https://www.ssi.gouv.fr/uploads/2020/09/anssi-guide-attaques_par_rancongiciels_tous_concernes-v1.0.pdf