L'attaque globale WannaCry l'a récemment prouvé une fois de plus en visant notamment les hôpitaux britanniques. Dans le monde entier, des centres de soins sont ainsi régulièrement piratés et des entreprises de cybersécurité sont alors dépêchées pour enquêter sur les causes et accompagner ces institutions dans la résolution des problèmes ainsi que le déploiement de solutions de sécurité pérenne. Les raisons de ces vulnérabilités sont aussi nombreuses que diverses : des logiciels et du matériel obsolètes, des ressources déficientes, un manque de soutien de la part de la direction pour que la sécurité soit prise en considération au même titre que les soins médicaux, une résistance culturelle ou encore l'évolution rapide de la technologie. Une mauvaise cybersécurité rend pourtant les appareils médicaux connectés vulnérables, ce qui pourrait - en allant plus loin - revenir à laisser la santé des patients aux mains des hackers. Ces organisations doivent par conséquent réagir et se pencher davantage sur l'accès aux comptes administrateurs - ou comptes à privilèges - qui permettent d'accéder à l'ensemble d'un réseau et aux données qui y circulent. Elles doivent également être attentives aux terminaux sensibles, afin d'atténuer les risques et de stimuler de manière significative l'attitude des hôpitaux vis-à-vis des menaces.

Le cadre de la santé est unique

Les hôpitaux et les centres médicaux sont des environnements complexes où les technologies de pointe sont soutenues par des réseaux qui n'ont pas initialement été conçus spécifiquement pour ce secteur. Des moniteurs ou des robots chirurgicaux sont, par exemple, utilisés afin d'améliorer la précision des soins et le travail du personnel. Or, leur déploiement sur le réseau de l'hôpital, sans aménagements informatiques préalables, peut augmenter par milliers le nombre de points d'accès, et donc la vulnérabilité à de potentielles cyberattaques. L'utilisation de ces objets connectés, essentiels au mieux-être des patients, est souvent source de conflits entre le personnel de santé et les services informatiques. Ces derniers n'ont en effet pas toujours un contrôle total sur les déploiements effectués au sein des hôpitaux. En outre, dans une industrie en proie à des budgets serrés et à une maitrise stricte des coûts, les décideurs qui possèdent une compréhension limitée des nouvelles technologies n'ont pas la possibilité de vraiment prioriser la cybersécurité. Sans compter que l'ajout sur le réseau d'utilisateurs aux fonctions administratives, médicales et techniques, rend également difficile l'obtention d'un consensus sur les changements nécessaires à adopter pour améliorer la sécurité. Cette difficulté peut s'aggraver dans les hôpitaux universitaires, qui mettent la plupart du temps l'accent sur l'accès libre et le partage.

La voie royale

L'importance du contrôle de l'accès aux comptes à privilèges sur les appareils connectés a été démontrée récemment avec l'attaque par déni de service qui a visé Cedexis, une entreprise spécialisée dans l'optimisation du trafic vers les médias français. Ce piratage aurait été orchestré à partir d'un botnet d'objets connectés, rendant inaccessibles les sites web du Monde, du Figaro ou encore de l'Obs. Cette technique utilise souvent les identifiants et les mots de passe enregistrés par défaut dans les objets connectés, car les utilisateurs tendent à ne pas changer ces paramètres. Et l'impact de ce risque dépasse largement la sphère privée et le grand public.

Les mots de passe par défaut sont en effet un moyen pour les hackers d'accéder facilement à la « voie royale » que sont les comptes administrateurs et de remplir ainsi leur mission. C'est pourquoi un pirate recherche en premier ces accès lors d'une attaque, puisqu'il peut ensuite se déplacer insidieusement à l'intérieur des systèmes. S'il y parvient, les équipements hospitaliers sur site peuvent être compromis alors que les enjeux induits sont significatifs, puisqu'il s'agit notamment d'appareils de chirurgie et de données de patients. Bloquer les intrusions via cette voie est donc indispensable, puisque cela augmente l'effort et le niveau de compétences nécessaires d'un pirate informatique pour mener à bien son attaque.

La réduction des risques de cyberattaques passe par la mise en place d'un ensemble de pratiques simples. Tout d'abord, il est important de gérer de manière appropriée les mots de passe et les comptes à privilèges, ce qui ne signifie pas pour autant la suppression de ces derniers, mais plutôt leur optimisation. Il faut également veiller à ne pas utiliser des mots de passe par défaut et à ne pas partager les identifiants administratifs pour éviter tout risque de faille de sécurité accidentelle ou malveillante. Des actions - aussi simples soient-elles - qui peuvent être appliquées sans avoir à changer ou perturber les procédures établies au préalable. Ces mesures doivent être mises en place avant le prochain ransomware de type WannaCry qui est probablement le premier de portée mondiale d'une longue série. A moins que bien sûr les organisations optimisent leur cyber-hygiène pour y faire face et stopper sa propagation, et rester en bonne cyber-santé !