Malgré l’annonce par certains groupes d’attaquants d’une « trêve » vis-à-vis des hôpitaux, d’autres hackers eux, n’ont pas renoncé à leurs méfaits. Preuve en est la récente attaque de l’AP-HP du 22 mars dernier. Digital.Security, la filiale du groupe Econocom dédiée à la sécurité de l’IoT, a décidé de mettre gracieusement à leur disposition ses prestations de réponse à incidents informatiques. Pour nous éclairer sur le sujet, nous avons posé trois questions à Thomas Gayet, directeur du CERT chez Digital.Security.
1/ Quels types d’incidents de sécurité les établissements de santé rencontrent-ils ?
Les établissements de santé, comme toute organisation ou entreprise, sont victimes d’attaques variées telles que les tentatives de phishing[1], le déploiement de rançongiciels (logiciel malveillant qui prend en otage des données personnelles) ou encore la conduite de dénis de service ayant pour but de rendre inaccessible une ressource sur Internet.
Certains facteurs caractéristiques au domaine rendent plus complexe la mise en œuvre de la sécurité. Ainsi la nature souvent distribuée de leur Système d’Information, sur plusieurs établissements, sur de grandes superficies et avec un accès au public multiplie les points d’entrées possibles. L’interconnexion d’équipements médicaux connectés, proche des équipements des réseaux industriels, peut poser problème en terme de maintien en conditions de sécurité. Enfin, le grand nombre d’intervenants sur les ressources informatiques rend plus complexe le suivi des accès des utilisateurs.
Les attaquants sont également intéressés à monnayer les données médicales, ces dernières années souvent dans une logique de chantage auprès des établissements qu’ils ont attaqués.
2/ Y a-t-il plus d’attaques depuis le début de la crise sanitaire liée au Covid-19 ?
Nous n’avons pas vraiment constaté d’augmentation d’attaques à leur encontre depuis le début de la crise sanitaire liée au Covid-19, dans le sens où le niveau de sollicitation d’assistance en cas d’incidents n’a pas évolué de façon significative.
Mais malgré l’annonce par certains groupes d’attaquants d’une « trêve » vis-à-vis des hôpitaux, ils exploitent plutôt la situation actuelle pour rendre les attaques plus efficaces ainsi que pour développer diverses arnaques ciblées, autour des thématiques d’approvisionnement en masques de protection ou en gels hydro alcooliques par exemple … Ces attaques qualifiées d’attaques au président ou aux fournisseurs ont toujours existées mais sont donc contextualisées au contexte Covid-19.
Par ailleurs, la mise en place des plans blancs au niveau des hôpitaux conduisant à déployer le télétravail pour le personnel administratif provoque une augmentation de charge, liée au besoin de gérer les moyens d’accès à distance, et une exposition aux risques plus importante liée au travail à distance.
Combinée à l’augmentation des temps de travail et à l’urgence de la situation qui provoque un stress bien compréhensible auprès des intervenants, le risque de provoquer un relâchement de la vigilance et de conduire les utilisateurs à être plus vulnérables aux attaques qui les ciblent est plus important. Les attaquants contextualisent évidemment le discours de leurs attaques à cet effet, comme par exemple l’envoi de courriels piégés annonçant la mise en place d’un vaccin.
3/ Quelle est la légitimité de DS dans ce domaine ?
digital.security, par le biais de son CERT, est à la fois en capacité d’intervenir en réponse à incidents afin d’aider les victimes à revenir à un état fonctionnel de leur Système d’Information en cas d’attaques réussies, mais aussi de conduire des études et des veilles sur l’évolution de la cybermenace.
Compte-tenu de la situation inédite que nous vivons, digital.security a répondu présent à l’appel à mobilisation de ressources à titre gracieux durant la période de difficultés liée au Covid-19 par le biais de deux initiatives :
- La mise à disposition de l’équipe de réponse à incidents informatiques (CERT-DS) pour les établissements délivrant des soins. Fort de notre expérience en réponse à incidents et de notre spécialité en sécurité des objets connectés, notamment médicaux, digital.security offre une assistance qui a pour but de soulager les établissements de santé en cas d’attaques visant leurs équipements et leurs réseaux informatiques critiques pour la délivrance des soins ;
- La fourniture d’une veille dédiée et d’un dispositif d’alertes au fil de l’eau, par tout support informatique et à l’ensemble des personnes intéressées, couvrant les évènements liés au Covid-19 et susceptibles d’avoir un impact sur la Cybersécurité. Cette veille permet d’être informé des menaces, fraudes, ressources utiles et autres actualités majeures liées à cette crise sanitaire.
[1] phishing : technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité
Directeur du CERT de digital.security (CERT-DS), spécialisé sur la sécurité de l’Internet des Objets, Thomas Gayet intervient régulièrement comme directeur de mission et consultant sur des projets SSI, OT et IoT. Après avoir acquis une expertise dans la réalisation de tests d’intrusions applicatifs, il pilote aujourd’hui les interventions de réponse à incidents (infections virales, intrusions, etc.) et les audits de sécurité. Contributeur dans des parutions traitant de sécurité, il mène régulièrement des sessions de sensibilisation en entreprise et participe à des conférences privées et publiques sur des sujets liés à la cybersécurité.