PARIS, 5 mars 2021 (TecHopital) - Les rançongiciels sont la "menace la plus immédiate à l'encontre des établissements de santé" à la fois "en termes de volume, de fréquence des attaques et de conséquences", avertit l'Agence nationale de la sécurité des systèmes d'information (Anssi) dans un rapport sur "l'état de la menace cyber sur les établissements de santé" daté du 22 février et dont APMnews/TecHopital a obtenu copie.
Les attaques par rançongiciels contre le secteur français de la santé sont en "nombre croissant" depuis 2014, mais cette hausse "relève d’une tendance globale, qui ne saurait être spécifique" à un seul secteur, note l'Anssi. Elle ajoute toutefois plus loin dans le rapport que "le secteur de la santé [est] généralement indiqué comme l’un des principaux secteurs victimes".
L'agence constate depuis 2018 "une augmentation des attaques par des rançongiciels contre de grandes entreprises et institutions", "qui visent en particulier des organisations en raison de leur rentabilité ou de la criticité de leurs activités" et connues sous le nom de "Big Game Hunting".
De plus, elle observe depuis 2019 que "de nombreux attaquants procèdent à des exfiltrations de documents présents sur les systèmes d'information [SI] de leurs victimes avant de déclencher le chiffrement", ce qui leur permet de "disposer alors de moyens de pression supplémentaires en menaçant les victimes de divulguer les informations exfiltrées".
"Ces attaques sont fréquentes sur les établissements de santé à travers le monde, notamment en France", et en particulier via le rançongiciel Ryuk.
L'agence cite les exemples déjà connus du CHU de Rouen, et des CH de Dax et Villefranche-sur-Saône, ces deux établissements ayant été victimes de Ryuk.
La Clinique de l'Anjou à Angers en a aussi fait les frais en janvier, apprend-on dans le rapport.
"Le chiffrement a affecté certaines sauvegardes et conduit les soignants à recourir 'au papier et crayon'. Les liens externes du SI ont également dû être coupés", indique l'agence.
Le CH de Marmande-Tonneins (Lot-et-Garonne) a aussi été victime d'un rançongiciel le 1er juillet 2020, apprend-on également.
"La compromission du SI de l’établissement via un poste de télémaintenance a conduit à la compromission du contrôleur de domaine et au chiffrement du SI de l’hôpital. Les services d’imagerie fonctionnelle ainsi que les laboratoires n’étaient plus en capacité de fonctionner normalement. Si l’accueil des patients a pu être maintenu, celui-ci a dû être effectué en mode dégradé", détaille l'Anssi.
Outre les rançongiciels, la première menace pesant sur les SI des établissements de santé est la divulgation de données de santé.
"La nature particulièrement sensible de ces données peut en faire des cibles d’intérêt pour des attaquants poursuivant des objectifs lucratifs ou d’espionnage. Les expositions de données médicales peuvent avoir des effets particulièrement dommageables pour les patients, mais également des conséquences juridiques pour l’organisme en charge de la gestion des données exfiltrées", met-elle en garde.
L'exfiltration de ces données peut donner lieu à "des opérations d’extorsions, des reventes sur le marché noir ou des publications malveillantes".
Cependant, "le paiement de la rançon ne garantit pas à la victime que les données exfiltrées ont été supprimées par l’attaquant, qui reste libre de divulguer ou revendre ces informations", rappelle-t-elle.
"Le paiement permet aux attaquants de poursuivre leurs activités et d’indiquer que la victime est en mesure de payer en cas de compromission. Il est apparu dans d’autres secteurs qu’une même entité soit ciblée à plusieurs reprises."
Enfin, "le paiement d’une rançon peut aujourd’hui faire l’objet de conséquences judiciaires", met-elle en garde.
Une liste de 50.000 comptes utilisateurs, c'est-à -dire d'identifiants et mots de passe associés "appartenant à des agents de centres hospitaliers" est en vente sur un forum cybercriminel pour "environ 2.000 dollars", est-il précisé.
Les fuites de données "peuvent conduire à des usurpations d’identité de patients à des fins notamment de fraudes, et exposent les établissements victimes à des poursuites judiciaires", notamment en raison du règlement général sur la protection des données (RGPD).
"De telles disséminations sont régulièrement causées par des expositions involontaires, lorsque l’accès à ces données n’est pas sécurisé", ajoute l'Anssi en faisant explicitement référence à la fuite de données de santé de près de 500.000 patients révélée le mois dernier.
"En France, les exfiltrations de données médicales à des fins lucratives ne semblent pas fréquentes. Toutefois, le lancement du dossier médical partagé pourrait éventuellement favoriser l’émergence d’une tendance similaire à celle observée aux États-Unis", où "ces attaques participent d’un véritable écosystème cybercriminel de monétisation des données médicales et de chantage".
Par ailleurs, "la hausse de la valeur perçue des données de santé pour des recherches futures impliquant de l’intelligence artificielle ou des algorithmes d’apprentissage automatisé sur de grands jeux de données pourrait encourager des attaquants".
A l'heure actuelle, "les établissements de santé ne semblent généralement pas être directement ciblés par les groupes d’attaquants les plus compétents, généralement réputés soutenus par des États étrangers", mais "la grande quantité de données personnelles détenues et la sensibilité de certaines données peuvent néanmoins faire l’objet de convoitise, en particulier si l’établissement est impliqué dans des missions à forte exposition médiatique ou accueille des personnalités telles que des chefs d’État étrangers".
"Une grande majorité des attaques affectant le secteur de la santé sont des attaques opportunistes", menées "de manière parfois automatisée […] par un grand nombre d’acteurs" qui "ne prêtent pas grand intérêt à l’identité des victimes".
Ainsi, "l’envoi de courriels malveillants reste une activité prisée par certains attaquants".
De plus, "de nombreuses vulnérabilités affectant des sites internet du secteur de la santé sont signalées chaque année" à l'agence, dont quatre en 2015.
"Des sites internet opérés respectivement par l’hôpital de la Pitié-Salpêtrière (AP-HP), le ministère chargé de la santé et l’agence régionale de santé (ARS) d’Île-de-France avaient été compromis et des pages proposant la vente en ligne de médicaments contrefaits y avaient été insérées."
Les attaques par déni de service distribué (DDoS) constituent toujours une menace. "Elles peuvent ainsi être menées par une très grande variété d’attaquants pour divers motifs", expose l'Anssi.
"L’Assistance publique-hôpitaux de Paris (AP-HP) a par exemple été victime de plusieurs attaques DDoS en 2020, rendant certains services temporairement indisponibles".
"Les SI des établissements de santé ont également été victimes de compromissions destinées à usurper la puissance de calcul des machines pour 'miner' des actifs chiffrés", c'est-à -dire des cryptomonnaies, qui "n’ont pas nécessairement un impact immédiat sur la continuité des opérations mais peuvent aboutir à des ralentissements de l’activité et une augmentation de la consommation électrique de la structure victime".
Ce fut notamment le cas du CH de Narbonne en décembre 2020, apprend-on.
Enfin, l'Anssi évoque la possibilité d'attaques "exploitant la chaîne d’approvisionnement (supply chain attack)".
"La compromission de prestataires disposant d’accès privilégiés au sein des SI de leurs clients permet des attaques plus furtives", ainsi que "l’attaque opportuniste d’autres clients du prestataire" et "l’arrêt de son activité et des services habituellement fournis à l’établissement de santé".
Dans le même rapport, l'agence brosse un portrait sévère des vulnérabilités des systèmes d'information (SI) des établissements de santé.
lc/gdl/ab
