Equipements médicaux et les pirates ! Le thème de l’édition 2017 du Cyber Security Weekend européen était “Next” – the near future and threats we will face ». A cette occasion, des experts de Kaspersky Lab, de KPN et d’EUMETSAT se sont réunis pour évoquer leurs prévisions et études respectives. Les participants ont ainsi pu écouter les prévisions sur ce que réservent les cybercriminels aux hôpitaux et aux patients en 2018.
Les données médicales contenus dans les équipements médicaux ont une très grande valeur sur le marché noir et les systèmes médicaux revêtent une importance vitale. Dès lors, les organisations de santé sont une proie de choix pour les tentatives d’extorsion. Il est donc essentiel que la communauté des spécialistes de la sécurité travaille en étroite collaboration avec le monde de la santé et ses fournisseurs dans le but de renforcer la protection des appareils utilisés, de veiller à ce que les nouveaux systèmes soient sécurisés et sûrs d’entrée de jeu, et pour que les équipes médicales soient bien formées aux questions de cybersécurité.
Le paysage en 2017
En 2017, les recherches ont montré à quel point les informations médicales et les données des patients stockées au sein d’une infrastructure de santé connectée étaient peu protégées et donc, accessibles en ligne par n’importe quel cybercriminel motivé. Les experts ont par exemple découvert que près de 1500 appareils utilisés pour le traitement des imageries médicales étaient accessibles au public. En outre, les recherches ont démontré qu’un nombre non négligeable de logiciels et d’applications en ligne de nature médicale, renferment des vulnérabilités pour lesquelles il existe des exploits publics. Ce risque se voit accru par la valeur des informations médicales, dont comptent bien profiter les cybercriminels pour leur bénéfice personnel. Ils savent en effet pertinemment qu’elles sont faciles d’accès et que les organismes médicaux seront toujours prêts à payer pour les récupérer.
A quoi faut-il s’attendre pour 2018 ?
Le secteur médical va être de plus en plus menacé, étant donné le nombre croissant d’appareils connectés et d’applications vulnérables déployés par les services de santé. Le monde de la santé est soumis à différents facteurs qui influent sur son fonctionnement : la nécessité d’en faire plus, à moindre coût, avec les ressources existantes ; le besoin croissant des soins à domicile pour les populations vieillissantes et les pathologies chroniques telles que le diabète ; l’aspiration du grand public à adopter un mode de vie plus sain ; et la prise de conscience que le partage de données et le suivi croisé des patients par différentes organisations sont la clé pour améliorer la qualité et l’efficacité des soins médicaux.
9 grandes menaces dans les 12 prochains mois
Les attaques ciblant les équipements médicaux avec un objectif d’enrichissement personnel, de malveillance pure, ou pour des motivations pire encore, seront en recrudescence. Les équipements médicaux spécialisés sont de plus à en plus nombreux à être connectés à des réseaux informatiques. Si ces derniers sont pour la plupart privés, une seule connexion peut suffire pour permettre à des attaquants de s’engouffrer dans la brèche et de diffuser des programmes malveillants à l’aide de ce réseau « pourtant fermé ». Or s’en prendre à des équipements peut perturber l’administration de soins, voire être fatal, ce qui augmente grandement les probabilités de versement de rançons en cas de tentative d’extorsion.
Il faut s’attendre à une hausse du nombre d’attaques ciblées visant à dérober des données. Le volume d’informations médicales et de données patients stockées et traitées par les systèmes de santé connectés, augmente tous les jours. Ce type de données est très coté sur le marché noir et peut servir à des fins de chantage et de tentative d’extorsion. D’autant que les criminels ne sont pas les seuls intéressés : l’employeur ou l’assureur d’une victime peuvent être intéressés de connaitre ce qui peut impacter les primes d’une personne ou son emploi.
Équipements médicaux dans la ligne de mire
Le nombre de cas d’attaques avec ransomware, visant les organismes médicaux, va augmenter. Ces tentatives s’appuieront sur le chiffrement de données et le blocage des appareils : les coûts exorbitants des équipements médicaux connectés et leur caractère souvent vital en feront des cibles de choix pour des attaques et tentatives de racket.
Le concept de périmètre professionnel clairement défini va continuer de s’effriter au sein des institutions médicales, dans la mesure où un nombre croissant d’appareils sont connectés à Internet – stations de travail, serveurs, appareils mobiles et équipements divers. Les criminels ont un choix toujours plus large pour tenter d’accéder à des informations médicales et à des réseaux. Mettre en place des systèmes de protection et sécuriser les utilisateurs finaux ou points de terminaison, va devenir le nouveau défi des équipes chargées de la sécurité dans les structures médicales. En effet, tous les nouveaux appareils créent autant de points d’accès à l’infrastructure.
Les données sensibles et confidentielles transmises aux professionnels de la santé par les appareils portables connectés, les implants notamment, vont être de plus en plus pris pour cible par des attaquants. En effet, ces appareils sont de plus en plus utilisés pour les diagnostics médicaux, les traitements et les soins préventifs. Les pacemakers et les pompes à insuline en sont de bons exemples.
Les systèmes d’information médicaux nationaux et régionaux qui échangent des données patients non-chiffrées, ou non sécurisées, avec des praticiens, des hôpitaux, des cliniques et autres établissements, vont être de plus en plus ciblés. Les attaquants vont chercher à intercepter les données lorsqu’elles se trouvent en dehors du pare-feu des réseaux. Il en sera de même pour les données échangées par les établissements médicaux et les compagnies d’assurance santé.
Équipements médicaux, mais pas que…
Le succès des petits appareils de santé et de fitness connectés est une aubaine pour les attaquants, car ils livrent de gros volumes de données personnelles généralement peu protégées. Avec l’engouement pour l’amélioration du bien-être, les bracelets, systèmes de suivi et autres montres connectées vont héberger et transmettre des grandes quantités de données personnelles, protégées à minima. Les cybercriminels n’hésiteront pas à profiter de cette véritable mine d’or.
Les attaques paralysantes – de type DDoS (avec refus de service) ou ransomware qui détruit les données (à l’instar de WannaCry) – posent un problème croissant pour les organismes de soins de santé de plus en plus digitalisés. Le nombre de stations de travail, processus informatisés de traitement des archives médicales et des données commerciales, qui sont le quotidien de toute organisation à la page, élargissent la surface d’attaque possible pour les cybercriminels. La situation est d’autant plus critique pour le monde de la santé dans les cas d’urgences avec pronostic vital engagé.
Enfin, et surtout, les technologies émergentes telles que les membres artificiels connectés, les implants destinés à apporter des améliorations physiologiques, la réalité augmentée embarquée conçues pour résoudre des problèmes de handicap et rendre l’être humain plus fort et en meilleure forme, constituent, elles aussi de nouvelles opportunités pour les attaquants imaginatifs armés d’intentions malveillantes. Ces nouvelles technologies médicales doivent donc être sécurisées dès le stade de leur conception.
Ce document est le premier d’une série publiée par Kaspersky Lab, consacrée aux prévisions annuelles de ses experts. Les autres annonces concerneront les domaines de l’automobile, des services financiers et de la fraude, de la sécurité industrielle et des crypto-monnaies. Tous seront accompagnés des traditionnelles prévisions de menaces ciblées. L’intégralité des Kaspersky Lab Threat Predictions for 2018 sera disponible sur Securelist dans la semaine.