Juin 2017 : Merck est victime d'une cyberattaque. La production est interrompue, entraînant un retard de livraison de certains produits, quelques mois plus tard. Plus tard, cette année-là, c'est au tour du laboratoire Pierre Fabre d'être victime de cybercriminels (voir encadré).
« Il existe une crise cyber qui a commencé depuis 2019, témoigne Charlotte Drapeau, cheffe du bureau santé et société de l'Agence nationale de la sécurité des systèmes d'information (ANSSI). La crise sanitaire en a été un facteur d'aggravation. » Tous secteurs confondus, les cyberattaques ont été multipliées par quatre entre 2019 et 2020(1). En cause ? La maturité des rançongiciels, ces codes qui empêchent la victime d'accéder au contenu de ses fichiers pour lui extorquer de l'argent.
Selon l'ANSSI (1), la rentabilité de ces attaques est bien supérieure à leur coût de mise en oeuvre. « C'est le moyen le plus simple d'attaquer une entreprise, les attaques ont beaucoup progressé et il est possible d'acheter facilement un rançongiciel sur certaines market places », témoigne Jean-Baptiste Voron, responsable des offres cybersécurité chez Atos.
Si aucun secteur n'est épargné, certains sont plus visés que d'autres : les collectivités locales, l'éducation, les entreprises de services numériques et le secteur de la santé (2). « En 2020, nous avons enregistré 24 incidents dans le secteur de la santé, dont sept concernant l'industrie pharmaceutique », précise Charlotte Drapeau. L'industrie pharmaceutique est attractive à plus d'un titre pour les cybercriminels. Les enjeux industriels et politiques forts lors de la crise du Covid-19 ont pu attirer certains activistes.
D'autres attaques sont menées à des fins d'espionnage. « Les savoir-faire, données de recherche, brevets ou encore données de santé offrent un avantage concurrentiel à celui qui les détient », ajoute Charlotte Drapeau. Ces raisons poussent les criminels à mener des attaques ciblées sur les entreprises. Les laboratoires sont aussi victimes d'attaques non ciblées, motivées, cette fois, par l'argent. Grâce aux rançongiciels, non seulement les criminels peuvent conditionner l'accès aux données au paiement d'une rançon, mais ils peuvent aussi exfiltrer les données pour les rendre publiques ou les revendre.
« Les données personnelles sont celles qui se monnaient le mieux sur le marché noir, elles sont plus chères qu'un numéro de carte bancaire ! », précise Jean-Baptiste Voron (Atos). Pour mener ces attaques non ciblées, des logiciels scrutent automatiquement Internet à la recherche de la moindre vulnérabilité. « La très grande majorité des attaques ne sont pas sophistiquées, elles exploitent des failles classiques au niveau des postes de travail, des équipements réseau, des sites de production... », appuie Jean-Baptiste Voron.
De nombreuses portes d'entrée
Dans un rapport publié en novembre 2021 (3), l'entreprise de cybersécurité Outpost24 mesure la vulnérabilité externe (services accessibles sur Internet) des vingt plus grandes organisations pharmaceutiques et de soins de santé de l'Union européenne et des États-Unis (AstraZeneca, Sanofi, Roche, etc.). 85 % d'entre elles sont « exposées de manière critique ».
L'étude met en évidence le nombre très important de services Internet utilisés par les organisations de santé européennes (plus de 20 000) au regard d'autres secteurs comme l'assurance (7 611) ou la vente de détail (1 656). Ce facteur augmente fortement l'exposition des entreprises pharmaceutiques aux attaques. « Maîtriser la surface d'attaque [N.D.L.R. : la somme des vulnérabilités d'une entreprise] devient le nouvel enjeu en cybersécurité, abonde Jean-Baptiste Voron.
« Celle-ci est énorme dans l'industrie pharmaceutique, en comparaison avec d'autres industries », reconnaît-il. Pour les attaquants, Internet n'est pas le seul réseau permettant de pénétrer une industrie : s'y ajoutent les systèmes d'information dédiés à la gestion (la technologie de l'information, IT) et à la production (la technologie d'exploitation, OT). « Ces systèmes d'information cohabitent et sont parfois mal cloisonnés, rendant l'ensemble du système plus vulnérable », précise Charlotte Drapeau pour l'ANSSI.
ANSSI Charlotte Drapeau, cheffe du bureau santé et société de l’ANSSI
La menace pesant sur le système industriel est par nature importante : elle peut mener à des malfaçons sur les produits voire à des destructions de matériel. « Depuis une dizaine d'années, les fournisseurs ont pris conscience de la vulnérabilité des systèmes industriels et ont pris des mesures pour protéger leurs services, » précise Faïz Djellouli, président de la société de conseil en cybersécurité Holiseum.
Le plus compliqué reste de lutter contre l'obsolescence de ces protections car les systèmes industriels ont une durée de vie de plusieurs dizaines d'années. La nature vitale des activités d'un laboratoire pharmaceutique complique la maintenance : la société de services en cybersécurité Tenable.ot (4) souligne, par exemple, dans un rapport, qu'il est presque impossible d'arrêter un réseau OT à des fins de maintenance. « Les correctifs sont donc appliqués bien plus tard que dans les autres secteurs, laissant les vulnérabilités persister beaucoup plus longtemps », souligne le rapport. « Il est nécessaire d'avoir une approche différenciée de la cybersécurité au niveau des systèmes industriels », poursuit Faïz Djellouli. « Ils doivent être pour cela isolés du réseau IT pour être protégés physiquement, même si cela entre parfois en opposition avec les initiatives de digitalisation. »
La conduite de la transformation digitale nécessite une réelle réflexion car chaque objet connecté ou interconnexion supplémentaire augmentent la surface d'exposition du système industriel. Si la digitalisation a pu représenter une aubaine lors de la crise du Covid-19, différents acteurs de la cybersécurité nous soulignent qu'elle a précipité certaines transformations au détriment de la sécurité. « La cybersécurité ne doit pas en être un frein », souligne cependant Jean-Baptiste Voron. « Le Cloud permet, par exemple, de traiter d'énormes quantités de données, mais la période de migration est à risque. À nous de trouver une approche pour satisfaire ce besoin en toute sécurité. »
Et ici, pas de secret : la prévention reste la meilleure parade face aux attaques. « 80 % des attaques pourraient être évitées en respectant des règles d'hygiène de base », affirme Jean-Baptiste Voron. Cela passe par des mesures organisationnelles : contrôler les accès physiques et technologiques, en utilisant, par exemple, des bastions d'administration qui permettent de renforcer la sécurité des comptes à privilège. La sensibilisation des collaborateurs est un rempart efficace, lorsqu'elle est faite depuis la direction générale jusqu'aux opérateurs métiers. « La formation est un pan entier de la prévention qui ne peut pas être remplacé par des outils techniques, il ne faut pas la négliger », insiste Jean-Baptiste Voron. « L'avènement du télétravail et de la mobilité renforce ce besoin », affirme-t-il.
Autre axe de défense : prendre des mesures techniques et juridiques. En cloisonnant les différents systèmes d'information, il est possible de limiter la propagation du virus lors d'une attaque (voir encadré). Maintenir à jour les systèmes, les antivirus, filtrer efficacement les courriels indésirables, gérer les privilèges des comptes ou encore ne pas conserver la configuration d'usine des équipements : autant de gestes à répéter pour limiter les failles.
L'ANSSI conseille également de choisir des produits et services disposant du visa de sécurité de l'ANSSI, gage d'efficacité, robustesse et confiance de la solution. « Le maillage de tous ces éléments permet d'atteindre un niveau de sécurité raisonnable », synthétise Faïz Djellouli. « Différents benchmarks ont montré qu'environ 10 à 15 % du budget informatique doivent être consacrés à la sécurité pour que la prévention soit efficace », révèle-t-il. Les risques encourus justifient d'adopter une posture défensive.
Holiseum Faiz Djellouli, p-dg et cofondateur de Holiseum.
Des attaques coûteuses
Dans un rapport publié en juillet 2021 (5), IBM évalue que chaque attaque coûte en moyenne cinq millions de dollars à une entreprise du secteur pharmaceutique, en large hausse par rapport à l'an dernier. « Les conséquences sont très étendues : atteinte à l'image de l'entreprise, désorganisation des services, manque de respect de la traçabilité des produits, défaut de livraison des produits, impact psychologique sur les salariés, etc. », appuie Charlotte Drapeau.
Une fois encore, l'anticipation permet de les limiter : prévoir un plan de gestion de crise, réaliser des exercices, faire des sauvegardes sécurisées, etc. L'ensemble des acteurs déconseille en revanche de payer la rançon. « Cela ne garantit pas la restitution des données, la restauration des systèmes ni n'évite la divulgation des données par la suite », abonde Charlotte Drapeau. « Il ne faut pas entretenir l'attractivité pour les attaquants », conclut la responsable.
1/ L'ANSSI et le BSI alertent sur le niveau de la menace cyber en France et en Allemagne dans le contexte de la crise sanitaire, 17 décembre 2020.
2/ État de la menace rançongiciel, ANSSI, 01 septembre 2021.
3/ 2021 web application security for pharma and healthcare report, Outpost24.
4/ Sécuriser la fabrication de médicaments et d'appareils médicaux, Tenable.ot
5/ IBM report : cost of a data breach hits record high during pandemic, IBM, 28 juillet 2021.
LA PRODUCTION DE PIERRE FABRE MISE À L'ARRÊT PAR UN RANÇONGICIEL
Le 31 mars 2021, le groupe Pierre Fabre subit une attaque informatique au rançongiciel. Les attaquants pénètrent dans le système informatique par hameçonnage, une semaine avant de lancer l'attaque. Les données du groupe pharmaceutique sont chiffrées, les attaquants réclamant une rançon de 25 millions de dollars d'après le média Bleepingcomputer.
Pour limiter la propagation du virus, les équipes mettent en veille le système d'information et coupent les réseaux externes, internes et les serveurs. En conséquence, une partie des activités de production est mise à l'arrêt : les sites de Gien, Soual et Avène. Ticpharma rapporte que quinze jours ont été nécessaires avant de reprendre la distribution des produits, un mois pour commencer à remettre en marche les sites industriels. Les nouveaux systèmes d'information, entièrement reconstruits à neuf, ont été opérationnels deux mois après l'attaque.
LE VIRUS PROFITE DES MOINDRES FAILLES DU SYSTÈME D'INFORMATION
Une attaque informatique est une histoire qui se joue en plusieurs actes jusqu'au chiffrement des données. L'arme du virus ? Les failles du système d'information. « Dès qu'il entre sur le réseau, le rançongiciel utilise d'autres failles pour se déplacer, jusqu'à atteindre le graal - l'annuaire, par exemple », détaille Jean-Baptiste Voron.
L'attaquant trouve tout d'abord une porte d'entrée dans le système d'information, on parle de vecteur d'infection. Il peut être physique - la connexion d'une clé USB à un poste informatique - ou virtuel. On trouve, par exemple, les courriels d'hameçonnage qui imitent un tiers de confiance pour récupérer des données comme des mots de passe, des sites légitimes compromis présentant une fausse mise à jour de navigateur, ou encore des failles au sein des serveurs ou des logiciels VPN. Une fois le système infecté, le rançongiciel va se déplacer au sein du système d'information. Celui-ci est déployé manuellement ou automatiquement. Le rançongiciel va pouvoir cartographier le (ou les) systèmes d'information et identifier les vulnérabilités, comme, par exemple, des failles logicielles. En parallèle, différentes techniques sont mises en oeuvre pour éviter la détection du logiciel malveillant par les logiciels antivirus.
L'ANSSI note que « le délai entre l'infection initiale et le chiffrement d'une attaque impliquant BazarLoader et Ryuk [N.D.L.R. : des logiciels malveillants] s'est réduit au cours du 2nd semestre 2020 de quelques jours à trois heures. ».
Le rançongiciel s'attaque enfin aux données. Elles sont parfois exfiltrées, et dans tous les cas, chiffrées - rendues inaccessibles à quiconque ne dispose pas de la clé de chiffrement. Certains rançongiciels peuvent le réaliser sans accès préalable à une connexion Internet, voire même allumer les postes informatiques éteints. Fichiers locaux, distants, stockés sur des disques externes : tous peuvent être touchés. Le chiffrement terminé, la victime voit s'afficher une demande de rançon sur ses postes informatiques.
- [REPORTAGE] À Aubagne, l’agrandissement de Sartorius, symbole de la démocratisation
- Et si les cellules de notre peau pouvaient nous aider à vieillir en bonne santé ?
- [REPORTAGE] À Grenoble, ARaymond mise sur la croissance de sa filière pharma
- Santé : La pépite de Montreuil Okomera accélère la recherche en oncologie
- En bref : Corteria Pharmaceuticals, Nemera
- Dans les pipelines : Roche, Sanofi, Sarepta
