Commençons par une question qui fait réfléchir : parmi un numéro de carte de crédit, un numéro de sécurité sociale et un dossier de santé électronique (DSE), lequel coûte le plus cher sur un forum du dark web ?
Étonnamment, il s’agit du DSE, et la différence est frappante : selon un étude, les DSE peuvent se vendre jusqu’à 1 000 $ chacun, contre seulement 5 $ pour un numéro de carte de crédit et 1 $ pour un numéro de sécurité sociale. La raison est simple : si une carte de crédit peut être annulée, vos données personnelles ne le peuvent pas.
Cette disparité de valeur importante souligne pourquoi le secteur de la santé reste une cible privilégiée pour les cybercriminels. Le riche référentiel de données sensibles du secteur présente une opportunité lucrative pour les attaquants motivés par le profit. Depuis 12 ans consécutifs, le secteur de la santé est confronté aux coûts moyens par violation les plus élevés par rapport à tout autre secteur. Dépassant une moyenne de 10 millions de dollars par violationil dépasse même le secteur financier, qui supporte un coût moyen d’environ 6 millions de dollars.
La gravité de ce problème est également illustrée par une multiplication par plus de trois des « incidents de piratage ou informatiques » signalés au Département américain de la Santé et des Services sociaux (HSS) de 2018 à 2022.
 |
| Nombre de violations signalées au Département américain de la santé et des services sociaux (HHS), conformément à la loi. Un piratage ou un incident informatique est un type de violation impliquant une intrusion technique. Source: Portail des violations HHS |
Le principal adversaire dans ce scénario est une menace bien connue : rançongiciel. Cette forme de cyberattaque cible de plus en plus le secteur de la santé, exploitant le caractère critique des soins aux patients pour exercer des pressions. Les cartels de ransomwares considèrent le secteur de la santé comme une cible idéale pour plusieurs raisons :
Les innovations dans le domaine de la technologie médicale, notamment les outils de diagnostic, la télémédecine, les appareils de santé portables et l’imagerie numérique, ont conduit à une dépendance accrue aux systèmes numériques.
- Haute numérisation: Le secteur de la santé est motivé par l’innovation, avec de nombreux tiers manipulant des données très sensibles comme les DSE.
- Contraintes de ressources: De nombreuses organisations de soins de santé souffrent d’un manque de personnel et d’expertise en matière de cybersécurité, rendant leurs environnements informatiques (souvent existants) vulnérables aux attaques.
- Des enjeux élevés: L’impératif de maintenir les soins aux patients incite fortement les organismes de santé à payer des rançons, ce qui en fait des cibles attractives.
Malgré ces défis, la situation n’est pas totalement catastrophique. Une stratégie clé pour protéger les données sensibles consiste à adopter l’état d’esprit d’un attaquant. Cette approche met en lumière le calcul coûts-avantages des attaquants potentiels, en identifiant les actifs qu’ils pourraient cibler et leurs méthodes d’attaque probables.
Dans ce contexte, il est important de se rendre compte que la nature des menaces n’est pas nécessairement devenue plus sophistiquée ; au contraire, la surface d’attaque – l’éventail des points de vulnérabilité potentiels – s’est élargie. En se concentrant sur l’inventaire des actifs et en surveillant la surface d’attaque, les organisations peuvent acquérir un avantage stratégique.. Visualiser leurs propres systèmes du point de vue de l’attaquant leur permet d’anticiper et de contrecarrer les menaces potentielles, renversant ainsi la situation face aux attaquants.
Comment fonctionnent les rançongiciels
L’image stéréotypée des hackers en tant que personnages solitaires menant des cyber-braquages de plusieurs millions de dollars vêtus de sweats à capuche noirs est en grande partie un mythe. Le paysage actuel de la cybercriminalité est beaucoup plus sophistiqué et ressemble à une industrie avec ses propres secteurs et spécialisations. Cette évolution a été facilitée par les réseaux anonymes et les monnaies numériques, qui ont transformé les ransomwares en un entreprise marchandisée.
La cybercriminalité est effectivement devenue plus organisée, mais les tactiques fondamentales restent largement inchangées. La stratégie première consiste toujours à exploiter erreurs humaines et capitaliser sur les vulnérabilités « faibles » au sein du vaste écosystème logiciel.
Un élément clé de la mentalité des cybercriminels est de reconnaître qu’ils opèrent comme des entreprises. Ils optent invariablement pour les méthodes les plus rentables et les plus simples pour atteindre leurs objectifs. Cela inclut une spécialisation dans des domaines tels que l’obtention d’un accès initial aux environnements informatiques, qui est ensuite vendu à d’autres entités criminelles telles que des gangs, des filiales, des États-nations ou même d’autres courtiers d’accès initial (IAB).
Ironiquement, le piratage d’applications Web peut sembler presque dépassé par rapport à la stratégie plus simple consistant à exploiter des données accessibles au public à des fins lucratives. Un exemple poignant est celui violation des dossiers génétiques des clients de 23andMe. Cette violation n’était pas le résultat d’un piratage direct; l’attaquant a plutôt utilisé des informations d’identification provenant d’autres sites, a accédé aux données, puis les a monétisées sur le dark web.
La source de ces données exploitables est souvent étonnamment simple. Les informations sensibles, notamment les clés API, les jetons et autres informations d’identification des développeurs (« secrets »), sont fréquemment exposées sur des plateformes comme GitHub. Ces identifiants sont particulièrement précieux car ils donnent un accès direct à des données lucratives, ce qui en fait une cible privilégiée pour les cybercriminels en quête de profits faciles.
Pourquoi découvrir des secrets avant qu’ils ne le fassent pourrait vous sauver la vie
En 2022, pas moins de 10 millions de secrets ont été divulgués sur GitHub. signalé par la société de sécurité GitGuardian. Cela représente une augmentation de 67 % par rapport à l’année précédente, ce qui indique qu’environ un auteur de code sur dix secrets révélés pendant cette période.
Cette forte augmentation peut être attribuée à la nature omniprésente des secrets dans les chaînes d’approvisionnement en logiciels modernes. Ces secrets, essentiels à la connexion de divers composants informatiques tels que les services cloud, les applications Web et les appareils IoT, sont également susceptibles d’échapper à la surveillance et de devenir des risques de sécurité importants. Les cybercriminels sont parfaitement conscients de la valeur de ces secrets divulgués, car ils peuvent donner accès aux systèmes informatiques internes ou même accéder directement à téraoctets de données non protégées.
La récente révélation par Becton Dickinson (BD) de sept vulnérabilités dans leur logiciel FACSChorus, telles que rapportées par le Journal HIPAA, est un rappel brutal des défis actuels en matière de sécurité des applications dans le secteur de la santé. Une vulnérabilité notable, CVE-2023-29064impliquait un secret codé en dur en texte brut qui pourrait potentiellement accorder des privilèges administratifs à des utilisateurs non autorisés.
Pour se défendre contre de telles vulnérabilités, il est essentiel que les organisations adoptent une attitude de vigilance continue. La surveillance automatique de la présence de votre organisation sur des plateformes comme GitHub est essentielle pour éviter les surprises dues à des secrets révélés. Il est tout aussi important de disposer d’une équipe dédiée menant des recherches approfondies pour identifier les actifs exposés, le stockage de données mal configuré ou les informations d’identification codées en dur au sein de votre infrastructure numérique.
Prendre des mesures proactives est essentielet une étape pratique consiste à envisager un service gratuit Audit de la surface d’attaque GitHub fourni par GitGuardian. Un tel audit peut offrir des informations précieuses, notamment une évaluation de l’empreinte numérique de l’organisation sur GitHub. Il peut mettre en évidence le nombre de développeurs actifs utilisant des emails professionnels, l’ampleur des fuites potentielles liées à l’organisation, et identifier ceux qui pourraient être exploités par des acteurs malveillants.
De plus, pour renforcer davantage votre posture de cybersécurité, il est conseillé d’intégrer des honeytokens dans votre stratégie de sécurité. Jetons de miel servent de leurres qui peuvent attirer et détecter les accès non autorisés, réduisant ainsi considérablement le temps moyen de détection (MTTD) des violations. Cette approche ajoute une couche de sécurité supplémentaire, aidant à contenir la portée des attaquants potentiels et atténuer l’impact d’une violation.
Conclure
Le secteur de la santé, qui détient un trésor de données précieuses, se trouve à un point charnière dans sa lutte contre les cybermenaces. Ce secteur, harcelé par les cybercriminels, subit les coûts moyens les plus élevés dus aux violations depuis plus d’une décennie. La principale menace vient des groupes de ransomwares, qui ont évolué vers des opérations sophistiquées et de type commercial. Pour contrer ces dangers, les organismes de santé doivent s’engager dans des stratégies vigilantes et proactives. Parmi ceux-ci, le plus important est le suivi régulier des empreintes numériques sur des plateformes comme GitHub et mener des recherches approfondies pour identifier et se protéger contre les actifs exposés. Cette approche est essentielle pour protéger les données et la vie privée des patients. Utiliser des services comme le gratuit Audit de la surface d’attaque GitHub peut fournir des informations inestimables sur les vulnérabilités potentielles.
À mesure que la technologie continue d’évoluer, la nature des menaces à la cybersécurité va inévitablement évoluer. Il est impératif pour le secteur de la santé de garder une longueur d’avance sur ces défis. Cela implique non seulement de mettre en œuvre les dernières technologies de sécurité, mais également de favoriser une culture de sensibilisation à la sécurité parmi tous les membres du personnel.