L’Usine Nouvelle. - La récente cyberattaque contre l’Agence européenne du médicament montre une nouvelle fois que le secteur de la santé est dans le collimateur des pirates. Comment l’expliquez-vous ?
Loïc Guézo. - Les données médicales sont hyper sensibles. Qu’elles soient à caractère personnel liées à la santé de l’individu ou à caractère scientifique comme celles sur les vaccins dans un contexte ultraconcurrentiel exacerbé par la crise sanitaire mondiale. Cela suscite l’intérêt de nombreux acteurs, des groupes criminels mais aussi des agences de renseignement, avec évidemment des motivations différentes. Or dans ce domaine, la vie humaine est en jeu. Le secteur de la santé réunit tous les ingrédients pour avoir un cocktail explosif en matière de cybersécurité.
Que sait-on dans le cas du piratage de l’Agence européenne du médicament ?
L’objectif d’une telle cyberattaque est de mettre la main sur des informations de premier plan. Cela entre dans le cadre des attaques contre les laboratoires pharmaceutiques, les acteurs institutionnels comme l’Organisation mondiale de la santé (OMS) ou même les chaînes logistiques mises en place pour distribuer le vaccin. Le plus souvent, il s’agit d’attaques ciblées étatiques. On sait que la Russie, l’Iran et la Chine sont actifs sur ce sujet. Les agences de renseignement utilisent le cyber pour se renseigner sur l’avancée des autres pays ou le développement des vaccins des grands laboratoires pharmaceutiques.
Les hôpitaux continuent-ils à être des cibles des cyberattaques ?
C’est toujours le cas. Fin octobre, aux Etats-Unis, le FBI et l’agence de la santé ont lancé des alertes concernant le ransomware Ruyk. En novembre dernier, l’ANSSI (l’agence de sécurité des systèmes d’informations) faisait de même en France. Selon elle, ce malware serait responsable de 75% des attaques sur le secteur de la santé en octobre 2020. L’agence précise que ce ransomware dispose d’une fonctionnalité lui permettant d’allumer les postes éteints présents sur le réseau local afin d’accroître sa surface de chiffrement. Il est aussi capable de détruire toutes les copies fantômes afin d’empêcher les entreprises de restaurer leurs systèmes informatiques. S’il n’y avait pas de succès de ces cyberattaques, je ne pense pas que ces autorités publieraient des rapports avec autant de détails sur les risques encourus et sur les groupes susceptibles de les mener
Quel est l’objectif visé en s’attaquant aux hôpitaux ?
Avec des budgets de fonctionnement contraints et en pleine crise du Covid-19, les hôpitaux sont sous tension et constituent des cibles faciles. Avec leur informatisation croissante aussi bien au niveau des équipements nécessaires pour réaliser les actes médicaux que pour leur gestion administrative, ces établissements sont de plus en plus vulnérables aux cyberattaques. La motivation des attaquants est purement criminelle et opportuniste. Les pirates n’ont pas d’états d’âme. D’où la multiplication des attaques par ransomware. Les hôpitaux sont contraints de reporter des opérations, de passer en mode dégradé pour continuer à fonctionner… Comme la vie des malades est en jeu, les pirates ont donc un levier important. Je m’étonne de ne pas avoir des choses plus graves.
Les modes d’attaque évoluent-ils ?
Les pirates sont plus sélectifs. Ils choisissent leurs cibles, de préférence des grosses organisations qui ont les moyens de payer. C’est le big game hunting. Cela passe aussi maintenant par une première phase d’exfiltration de données à l’insu de la victime. C’est ensuite qu’intervient le déclenchement du rançongiciel massif et la demande de rançon avec un phénomène nouveau : l’attaquant menace de rendre publics les documents sensibles qu’il a subtilisés pour accroître la pression sur la victime.
Pourquoi les attaques par email sont-elles si efficaces ?
Les attaquants disposent de moyens massifs et les entreprises ont souvent sous-investi dans leur défense sur cet aspect, considéré comme maîtrisé, à tort. Il faut avoir une idée des ordres de grandeur des campagnes d’hameçonnage. Ce n’est pas un message qui arrive par hasard sur une boîte mail. Notre étude a mis en évidence des campagnes de 200 000 mails contre les laboratoires pharmaceutiques. Nos équipes ont même identifié un groupe capable d’envoyer en une journée 50 millions de mails avec des pièces jointes! Ces groupes d’assaillants ont l’équivalent d’un bélier numérique pour faire tomber les défenses du secteur de la santé. Il suffit qu'une personne « ouvre la porte », en interagissant via le mail leurre, pour que le poison entre...
Les mesures de protection prises par le secteur de la santé sont-elles à la hauteur ?
Des initiatives intéressantes aussi techniques qu’organisationnelles se mettent en place. Comme l’adoption nouvelle du protocole d’authentification de mails DMARC. Cela évite que les pirates puissent aisément se faire passer pour un organisme existant en exploitant son nom de domaine officiel. En France, le ministère a réussi à convaincre les acteurs de la santé de participer à un portail de remontée des incidents de cybersécurité dès 2018. Cela permet d’avoir une vision volumétrique des attaques. Cela permet aussi de qualifier les incidents les plus graves pour les faire remonter jusqu’au cabinet du ministre de la Santé de façon à déclencher un plan d’actions correctives en retour. On ne cache plus la poussière sous le tapis. Le secteur progresse.
Mais l’effort est-il suffisant ?
Il faut aller encore plus loin. C’est une course permanente. Le point rouge du laser des cybercriminels est sur le secteur de la santé et ils vont continuer à taper de plus en plus fort.
