Les établissements de soins sont confrontés à de nouveaux défis de cybersécurité, aux conséquences potentiellement désastreuses : malwares de plus en plus sophistiqués, collaborateurs de plus en plus mobiles et services Cloud de plus en plus plébiscités. Le point avec Ivan Rogissart, directeur Avant-Ventes Europe du Sud chez Zscaler, pour les lecteurs de Solutions Numériques.
Il n’est pas chose aisée de garder une longueur d’avance sur les cybercriminels et de protéger son réseau étendu contre les tentatives d’intrusions. Les cyberattaques évoluent rapidement et le manque d’experts en sécurité informatique ne cesse de s’accentuer. L’automatisation des infrastructures de sécurité informatique à l’aide de solutions de sécurité Cloud peut aider les hôpitaux à moderniser leurs lignes de défense.
Depuis le malware Locky en 2016, les vagues d’infection par ransomware (rançongiciel) sont devenues des activités lucratives pour les cybercriminels. Ces malwares, également appelés trojans ou chevaux de Troie, peuvent chiffrer des données ou des réseaux, une rançon est demandée pour en recouvrir l’accès. Suite à une attaque, les données des patients deviennent ainsi inaccessibles. Résultat : les soins délivrés aux patients et la fluidité des activités de l’établissement sont compromis.
En 2016, l’hôpital Lukas situé à Neuss en Allemagne fut le premier établissement de soin à subir une attaque mobilisant des ransomwares à chiffrement. Depuis, le nombre de cas d’attaques à l’encontre d’établissements de soins est en forte augmentation : entre octobre 2018 et mai 2019, en moyenne deux tentatives d’intrusion par jour ont été signalées (à la Cellule ACSS – d’Accompagnement Cybersécurité des Structures de Santé) par les établissements de santé français
Le sandbox, un remède aux ransomwares
Un seul PC infecté suffit souvent à paralyser l’intégralité d’un réseau hospitalier. S’il s’agit d’un rançongiciel, notamment, l’attaque peut avoir des conséquences désastreuses pour le service. De ce fait, l’objectif principal d’un service de sécurité informatique doit être le suivant : éviter de manière proactive l’infection initiale par ce « patient zéro ». Le sandbox, combiné à un serveur proxy, permet de vérifier en temps réel la présence de malwares sur l’ensemble du trafic de données entrant et sortant.
Ce type d’approche va plus loin que les concepts de sécurité sur site traditionnels qui reposent sur des composants matériels, car elle permet de réaliser des analyses en ligne de l’intégralité du trafic de données en temps réel. Le sandbox est en mesure de mettre en quarantaine un fichier suspect et de réaliser une analyse comportementale. Si un fichier s’avère malveillant, l’interaction entre le sandbox et le serveur proxy permet dès lors d’éviter toute « contagion primaire » en bloquant le code malveillant.
Les systèmes de sécurité matériels actuels n’analysent pas le trafic chiffré afin d’éviter les problèmes de performance réseau, ce qui peut exposer l’organisation à un nombre accru d’attaques. Avec la toute dernière version du protocole HTTPS visant à garantir des connexions sécurisées, Transport Layer Security (TLS) 1.3, la vaste majorité du trafic Internet est à présent transmis de manière chiffrée (91 % du trafic allemand vers Google est déjà chiffré selon le rapport de transparence Google). Les attaquants tirent parti de ce nouveau protocole et dissimulent leurs programmes malveillants au sein de ces flux de données chiffrés, car ils savent que de nombreuses organisations ne procèdent pas à des analyses complètes.
L’automatisation de la sécurité informatique, une thérapie
L’automatisation des mesures de protection devient aujourd’hui de plus en plus importante pour les établissements de soin, en particulier dans un contexte où les spécialistes de la sécurité informatique se font rares. L’automatisation, Security-as-a-Service, tombe ainsi à point nommé. Une approche de sécurité qui s’appuie sur le Cloud, et qui fait dans le même temps appel à des analyses de données, réduit la complexité habituelle de l’interaction entre différentes appliances matérielles traditionnelles en unifiant de nombreuses solutions de sécurité au sein d’une plate-forme Cloud. La coordination entre les modules rend superflus les systèmes SIEM (gestion de l’information et des événements de sécurité) externes. Les fausses alertes peuvent ainsi être évitées, les composants Cloud mettant quant à eux en correspondance leurs journaux sans affecter la rapidité du système.
Cette approche élimine les erreurs typiques d’administration manuelle ainsi que toute divergence due au retard que peuvent accuser les mises à jour.
Bloquer la propagation de l’infection en amont
Si l’attaque d’un hôpital et le piratage des données de ses patients peut être discutable éthiquement, il semblerait que la notion soit étrangère à certains cybercriminels. Raison pour laquelle les établissements de santé, plutôt que de guérir en aval, doivent prévenir les infections – en détectant le « patient zéro ».
Guérir – Lorsqu’une infrastructure de sécurité est basée sur des composants matériels, les données des différents systèmes, tels que des logiciels de détection antivirus, des outils de filtrage des URL et des outils de détection des menaces persistantes avancées, sont souvent transmises à un système SIEM, les appliances individuelles n’étant pas en mesure de communiquer entre elles. Un processus d’analyse complexe doit alors être mis en œuvre en aval, ce qui a également l’inconvénient de déclencher de fausses alertes.
Prévenir – À l’inverse, un service de sécurité Cloud réunit automatiquement les journaux des différents systèmes de sécurité. Une seule alerte claire signale ainsi la présence d’un malware. Il est alors possible de bloquer immédiatement le code malveillant. Si un hôpital est attaqué, l’interaction intelligente entre les différents composants de sécurité au sein d’une plateforme Cloud hautement intégrée permet de détecter ce qu’il se passe en temps réel sur le réseau et de mettre immédiatement en place des mesures de remédiation en temps réel.
L’infection émanant du « patient zéro » est ainsi immédiatement résorbée.
