Le secteur de la santé subit une pression sans précédent. Alors que tous les systèmes de santé  sont à l’épreuve de la pandémie de Coronavirus, les cybercriminels continuent d’élaborer sans relâche de nouvelles fraudes pour dérober des données personnelles ou détourner des fonds. En France par exemple, les Ministères Sociaux ont alerté fin avril sur une recrudescence de tentatives de phishing qui usurpent notamment l’identité de Santé Publique France (SPF) ou du gouvernement Français pour tenter d’arnaquer des entreprises, des collectivités ou des établissements de santé.

La fraude par email, principal vecteur de la menace

Selon le FBI, les cyberattaques ont coûté plus de 3,5 milliards de dollars en 2019, et près de la moitié de ces attaques passaient par le canal email (attaques de type BEC - Business Email Compromise).

La fraude par email se produit lorsque des cybercriminels envoient des emails extrêmement bien conçus à des personnes ciblées au sein d'une organisation pour réclamer généralement un transfert d'argent ou des informations stratégiques. Il est parfois impossible de les dissocier d'une demande légitime, car les cybercriminels usurpent l'identité d'une personne de confiance pour tromper leurs victimes.

Chaque entreprise est une cible potentielle pour les cybercriminels, et le secteur de la santé ne fait pas exception, même quand celui-ci est déjà particulièrement sous pression. Une récente étude a montré que les organismes de santé victimes de fraude par email avaient reçu plus de 40 emails frauduleux en moyenne sur un seul trimestre, un chiffre qui a plus que triplé en seulement un an !

Souvent décentralisés et détenant des informations  sensibles, les organismes de santé sont des cibles particulièrement privilégiées pour les cybercriminels. Alors que les logiciels malveillants et autres cybermenaces touchent tous les secteurs, la fraude par email est particulièrement préjudiciable au secteur de la santé, car les cybercriminels s'attaquent au segment le plus vulnérable de la population et aux personnes qui s'efforcent de les aider.

Disection du problème

Les cybercriminels utilisent souvent des techniques d'ingénierie sociale pour tromper leurs victimes. Ils prennent l'identité d'une organisation ou d'un employé de confiance et élaborent des emails de phishing sophistiqués, en demandant des fonds ou en essayant de récupérer des identifiants de connexion. Le vol d'identité est la clé de la fraude par email : en moyenne l’imposteur prendra l’identité de 15 membres du personnel de santé, à travers de multiples messages.

Il n'est pas surprenant que les demandes de transferts d’argent soient le principal sujet d'attaques par email dans le secteur de la santé. Les cybercriminels utilisent principalement des objets de mail avec les mots "paiement", "demande" et "urgent", pour piéger leurs victimes. Les cybercriminels choisissent également le moment opportun pour lancer l’offensive. La plupart des attaques par email contre les organismes de santé sont envoyées en semaine entre 7h00 et 13h00, et sont conçues pour être vues par le plus grand nombre d’employés possible pendant cette période afin d'augmenter les chances de succès. En effet, un fournisseur externe est moins susceptible de demander la mise à jour des informations de paiement le soir ou pendant le week-end.

Le secteur de la santé est-il préparé à cette menace ?

Il ne faut pas chercher longtemps pour se rendre compte que le degré d’exposition au risque de certains sites web du secteur de la santé en France est élevé. En faisant par exemple une rapide analyse DMARC (Domain Message Authentication Reporting and Conformance) des sites web des Agences Régionales de Santé (ARS) de l’Etat Français, on constate qu’AUCUN ne dispose des niveaux d’authentification requis pour protéger les usagers contre des acteurs peu scrupuleux cherchant à usurper l’identité de sites officiels de confiance.

Les cybercriminels ont donc le champ libre pour émettre des courriels frauduleux, aux couleurs officielles de ces organismes : on imagine facilement la suite… Pourquoi les services publics ne prennent-ils pas davantage de mesures proactives pour protéger les usagers contre des tentatives de cyberattaque ? Quelle approche les organismes de santé peuvent-ils adopter pour protéger leur personnel, leurs patients et les parties prenantes contre ce risque ?

Une stratégie centrée sur l’humain

Les tactiques de fraude par email évoluent constamment, mais il y a une constante : les cybercriminels continuent d’utiliser le facteur humain, en ciblant les employés de tous niveaux hiérarchiques. Les entreprises du secteur de la santé doivent donc repenser leur stratégie de cybersécurité, en adoptant une approche centrée sur l’individu. Ainsi, les organismes de santé peuvent minimiser l’impact du facteur humain et mieux protéger l'ensemble de leur écosystème. Il est primordial de comprendre qui sont les individus les plus à risque et d’adapter la stratégie en conséquence.

Le paysage actuel des menaces exige une stratégie de défense à plusieurs niveaux qui englobe à la fois les personnes, les processus et la technologie. Il est essentiel de renforcer la resistance des employés grâce à des programmes de formation et de sensibilisation à la cybersécurité. Sans cela, quelqu'un cliquera toujours !

Les programmes de formation et de sensibilisation sont traditionnellement mis en place pour apprendre aux employés à être vigilants et à agir comme la dernière ligne de défense contre les attaques visant l'entreprise. Les simulations d'attaques par phishing et les programmes ludiques aident les employés à réfléchir à deux fois et à participer activement à la protection de leur entreprise contre les cybercriminels, au lieu d'en être la victime.

Parallèlement, il faut établir un niveau de priorité dans les processus de l’entreprise. Certains processus comme le transfert de fonds présentent un risque énorme pour toutes les entreprises ; d'autres tels que l'ingénierie et la production sont spécifiques à une entreprise. De plus, les processus qui dépendent des personnes sont plus vulnérables car elles peuvent être la cible d'ingénierie sociale. Les entreprises doivent s'assurer qu'elles sont en mesure d'authentifier les entités, les personnes et les dispositifs qui contribuent aux processus de l’entreprise. Si des actions et des décisions sont prises selon des instructions provenant d'une entité dont l'identité a été usurpée, un processus de gestion peut être facilement compromis.

Enfin, des technologies telles que le système DMARC constituent un réel obstacle aux tentatives d’attaques de cybercriminels toujours plus audacieuses. Cette technologie empêche d'usurper les domaines des entreprises et d'envoyer des emails en leur nom. Les organisations devraient également envisager l'analyse dynamique des emails pour bloquer l'usurpation du nom d'affichage sur les portails, et la découverte de domaines similaires pour rechercher des domaines récemment enregistrés par des tiers, ainsi que la prévention des pertes de données (DLP) et le chiffrement pour protéger leurs actifs essentiels.

Par Loïc Guézo, Directeur Stratégie Cybersécurité SEMEA chez Proofpoint

publicité