Selon la dernière étude Cost of Data breach 2022 du Ponemon Institute et IBM, le secteur de la santé reste l’une des cibles préférées des cybercriminels, notamment pour les attaques par ransomware. Celui-ci aurait affiché le coût moyen le plus élevé en termes de violation des données pendant douze années consécutives.
Pour 2022, ce total s’élève ainsi à plus de 9,9 millions d’euros. Ce danger est particulièrement amplifié en raison de l’absence de contrôles de sécurité des identités pour sécuriser et gérer les comptes à privilèges. De ce fait, les organismes de santé doivent faire évoluer leur approche en matière de cybersécurité, et notamment approfondir leur réflexion en termes de stratégie de gestion des risques, afin de se défendre contre ces compromissions coûteuses.
Une stratégie optimale inclue l’évaluation et la gestion des risques de cybersécurité associés aux fournisseurs et tiers des établissements de santé.
Face à la recrudescence des attaques par ransomware contre le secteur de la santé, il devient essentiel d’évaluer le niveau de cyber-maturité des fournisseurs et tiers, ainsi que leur gestion des risques IT. Les organismes de santé doivent ainsi se pencher sur quatre pratiques pour améliorer leur cyber-hygiène :
- Inventorier tous les vendeurs et fournisseurs tiers. Il est important que ces évaluations intègrent également les systèmes non traditionnels et les appareils IoT, qui peuvent introduire un risque de cybersécurité. Un exemple notable est l’autorisation d’un accès à privilèges distant à des ressources critiques, et par une tierce partie. Toute application ou service dans le cloud nécessite également d’être examiné.
- Classer les fournisseurs selon leur niveau de risque, en précisant la criticité de la mission de ce tiers ou de son impact sur l’entreprise, ainsi que les potentielles menaces associées. Pour tout prestataire ayant recours à des services cloud, l’analyse doit porter sur les pratiques de sécurité à chaque étape du cycle de vie des données critiques ; c’est-à-dire la création, le stockage, l’utilisation, le partage, l’archivage et la destruction de celles-ci. Le recours à un service tiers de notation des risques, avec une liste de fournisseurs qualifiés, est tout à fait possible si cela n’est pas réalisable en interne par manque de moyens financiers ou humains par exemple. En complément, les entreprises sont aussi encouragées à se référer aux normes industrielles existantes, telles qu’ISO.
- Identifier et définir les vulnérabilités. L’escalade des privilèges est le premier vecteur d’attaque pour les organismes de santé. A l’aide d’identifiants dérobés, les hackers ont en effet la possibilité de se déplacer dans les réseaux de l’entreprise et de cibler des comptes à privilèges puissants, pour déployer des ransomwares. Pourtant, de nombreuses organisations ne parviennent pas à sécuriser ces comptes, se concentrant davantage sur des mesures de protection des données relatives aux patients et non celles liées aux fournisseurs tiers.
- Fournir aux acteurs de la supply chain des plans d’actions sur les cyber-risques et leur hiérarchisation, et les obliger à les suivre. Ainsi, l’extension des pratiques critiques de sécurités des identités, et plus particulièrement la gestion des accès à privilèges, doit figurer en tête de liste des actions à entreprendre par les organismes de santé auprès de leurs fournisseurs et partenaires. Ces mesures permettent notamment de se protéger contre les ransomwares et de réduire considérablement les menaces dans l’ensemble de la supply chain. Aussi, elles améliorent le contrôle de comptes à privilèges, en isolant et en surveillant les activités sensibles, et en supprimant les accès de base aux systèmes IT. Cela minimise l’exposition des identifiants et les possibilités de compromissions.
Prioriser la gestion des accès à privilèges, dans le cadre d’un programme complet de sécurité des identités, renforce la cyber-résilience de la supply chain dans le secteur de la santé. Par extension, cette approche garantit aussi la protection des systèmes de ses organisations contre les attaques par ransomware.