Le secteur de la santé est devenu une cible privilégiée pour les cybercriminels, les données médicales et identifiants volés se vendant à prix d’or sur le dark web. Kern Smith, VP Global Solutions Engineering chez Zimperium, évoque pour nos lecteurs le problème du phishing mobile.
Depuis leur apparition, les appareils mobiles ont bouleversé de nombreux aspects de nos vies, et la santé ne fait pas exception. Ils ont, en effet, ouvert de nouvelles perspectives dans ce secteur : les consultations se font désormais à distance, les données de santé peuvent être partagées instantanément et facilement, et l’accès aux soins s’est considérablement étendu. L’agilité et l’accessibilité facilités par la technologie mobile peuvent faire une réelle différence dans la prise en charge des patients et dans la qualité des soins prodigués. Mais comme toute entreprise et secteur qui adoptent une nouvelle technologie transformatrice, les risques associés, notamment en matière de cybersécurité, sont rarement anticipés et souvent sous-estimés.
Les cyber-risqueeeees accompagnent la technologie mobile
Le secteur de la santé est devenu une cible privilégiée pour les cybercriminels, les données médicales et identifiants volés se vendant à prix d’or sur le dark web, et il a souvent montré une résilience limitée face à des cyberattaques de plus en plus sophistiquées. En matière d’IT, les établissements de santé se concentrent plus sur l’accessibilité et l’agilité que sur la sécurité, ce qui a entraîné de nombreux incidents par le passé. Car bien qu’un appareil mobile soit l’un des dispositifs professionnels les plus courants dans le monde actuel, il représente un risque particulièrement sous-évalué dans ce secteur.
Des attaques de phishing en expansion
Actuellement, le secteur de la santé est particulièrement vulnérable aux attaques de phishing mobiles, un récent rapport[1] révélant que le phishing y représente 39 % des menaces mobiles. À titre de comparaison, pour l’enseignement supérieur, le deuxième secteur le plus à risque, il ne représente que 4,2 %.
Le secteur de la santé s’appuyant de plus en plus sur les appareils mobiles, une part disproportionnée des attaques de phishing va cibler ces dispositifs, qui permettent aux professionnels de santé de recevoir directement des données et de communiquer avec les patients. Ces attaques ne se limitent pas aux boîtes de réception mobiles mais exploitent également d’autres fonctionnalités (SMS, messagerie instantanée, QR codes) ainsi que les comportements des utilisateurs.
Le phishing est depuis longtemps l’un des principaux vecteurs d’attaque et les entreprises ont sensibilisé leurs employés afin qu’ils puissent détecter les e-mails malveillants sur leurs ordinateurs. Cependant, sur un écran mobile, les signes révélateurs en cas de phishing sont moins évidents. Non seulement l’écran est plus petit, masquant certains indices, mais peu de personnes ont conscience qu’un message WhatsApp, SMS ou QR code peut également cacher un lien malveillant. Par ailleurs, les utilisateurs sont généralement plus enclins à cliquer sur un lien de phishing reçu sur un appareil mobile que sur un ordinateur. En effet, selon un autre rapport[2] ils sont entre six et dix fois plus susceptibles de tomber dans le piège d’une attaque de phishing par SMS que par email.
Un enjeu de sécurité et de santé publique
Les attaques de phishing mobiles sont désormais utilisées pour compromettre les réseaux de santé, voler des informations, déployer des malwares et plus largement paralyser les organismes dont la mission est de protéger la santé. Elles doivent donc non seulement être perçues comme des menaces pour les données, mais également pour les patients.
Si une attaque par ransomware ne nuit pas directement aux patients, la paralysie administrative engendrée peut perturber les capacités opérationnelles des hôpitaux, et mettre en danger les patients.
Fin 2024, Tedros Adhanom Ghebreyesus, directeur général de l’Organisation Mondiale de la Santé (OMS), a déclaré au Conseil de sécurité des Nations unies : “Les cyberattaques contre les hôpitaux et autres établissements de santé ne sont pas seulement des questions de sécurité et de confidentialité ; elles peuvent être des questions de vie ou de mort”.
Si le secteur souhaite profiter des avantages de l’usage des appareils mobiles, il devra en maîtriser les risques, notamment en mettant en œuvre des politiques de sécurité modernes, qui impliquent, entre autres, d’adopter des solutions de sécurité mobiles.
[1] Global Mobile Threat Report 2024 (GMTR) – Zimperium
[2] Global Mobile Threat Report 2023 (GMTR) – Zimperium
