Les chiffres du ministère de l’Intérieur sont inquiétants. Pour l’année 2020/21, 380 à 460 plaintes pour cyber rançonnage ont été déposées. D’après les chiffres révélés par l’ANSSI, ce type d’attaque aurait augmenté de 255 % entre 2019 et 2020. Alors comment réagir aux risques cyber en santé ?
Face aux risques cyber en santé, l’ANSSI tire la sonnette d’alarme
Dès lors, quelle entreprise ou organisme de santé peut-il encore se permettre d’ignorer la réalité de cette menace ? Les entreprises de santé, qui abritent des données particulièrement sensibles, sont concernées au premier chef. Mais cette prise de conscience ne suffit pas : il faut agir ! Or, les entreprises de santé peuvent se trouver relativement démunies face aux problématiques de sécurité informatique, car ce n’est pas leur cœur de métier. Elles peuvent heureusement s’appuyer sur les outils mis à leur disposition par l’ANSSI. Fiches pratiques, exercice de simulation de crise cyber, cours en ligne, ces ressources ont pour ambition d’expliquer les bonnes pratiques et de préparer les organisations aux cyberattaques. La mise en œuvre d’une politique de sauvegarde des données sérieuse doit venir en appui de cette démarche.
La puissance croissante des cyber rançonneurs
Le quatrième rapport commun de l’ANSSI et de son homologue allemand, le BSI, paru en 2021, est consacré au phénomène de cyber rançonnage, dont la croissance exponentielle a de quoi inquiéter sérieusement les professionnels et les pouvoirs publics. Et si les chiffres sont impressionnants, l’évolution des modes opératoires ne l’est pas moins. D’initiatives individuelles visant à soutirer de l’argent à des particuliers, on est passé à un véritable système. Le rapport franco-allemand explique que les ransomware se trouvent aujourd’hui au cœur d’un vaste marché, et va même jusqu’à évoquer une pratique de RaaS, ransomware as a service. Plus encore, il place les attaques perpétrées par ces cybercriminels « au niveau des attaques traditionnellement associées à des groupes d’attaquants étatiques ».
Qui sont les victimes ? Selon le rapport de l’ANSSI et du BSI, elles représentent l’ensemble des organisations privées et publiques. Et si les transports, l’hôtellerie-restauration, l’industrie et les collectivités locales forment des cibles privilégiées, nul ne peut se dire à l’abri. En témoignent les tristes épisodes qui ont marqué l’année 2020 dans le secteur de la santé. Plusieurs hôpitaux français ont dû faire face à des rançongiciels, en pleine crise du Covid.
Des outils pour réagir
Yves Verhoeven, sous-directeur stratégie de l’ANSSI, résume ainsi la situation : « il y a deux types d’organisations : celles qui ont déjà été victimes d’une cyberattaque et celles qui ne tarderont pas à l’être ». Il est donc urgent d’anticiper cette menace.
Pour ce faire, les professionnels de santé peuvent s’appuyer sur les outils proposés par l’ANSSI. Le guide de gestion de crise cyber publié par l’agence le 6 décembre 2021 s’adresse aux divers échelons des structures publiques et privées. Il n’a pas été conçu pour les seuls responsables informatiques, mais pour toute personne jouant un rôle dans la mise en œuvre des SSI. L’ANSSI a travaillé avec le Club des directeurs de sécurité et de sûreté en entreprise (CDSE) pour élaborer les 18 fiches pratiques qui le composent.
À travers ce document, l’agence nationale pointe avant tout la nécessité pour une organisation de bien connaître son système d’information, les éléments qui le composent, ses points faibles. En réaliser une sorte de cartographie permet d’anticiper les formes d’une éventuelle attaque. On peut ainsi mesurer l’impact d’une telle crise et mener des actions préventives.
Autre point crucial, la sensibilisation des salariés. Dans une structure de santé, ceux-ci doivent être particulièrement avertis des enjeux d’une crise cyber sur les données ultra-sensibles qu’une telle entreprise détient. Cette sensibilisation peut passer par l’organisation d’exercices, comme ceux que propose le guide Organiser un exercice de gestion de crise cyber réalisé par l’ANSSI et le Club de la continuité d’activité.
Pour la formation des salariés comme des managers, l’ANSSI propose également un cours en ligne gratuit, accessible à tous. Disponible sur la plateforme SecNumacadémie, il inclut quatre modules : panorama de la SSI, sécurité de l’authentification, sécurité sur internet et sécurité du poste de travail et nomadisme. C’est une formation non certifiante, qui délivre une attestation de suivi.
Anticiper : savoir protéger ses données
La formation des salariés est essentielle, car les ransomware profitent généralement de l’ignorance ou de la négligence des utilisateurs. Mais les professionnels de santé ne peuvent faire l’impasse sur une politique de protection des données sérieuse. C’est l’une de leurs obligations légales. La perte ou l’altération des données prises en otage engage leur responsabilité et peut les mener au dépôt de bilan. Et même le paiement d’une rançon ne garantit pas que les données seront restituées intactes. Ni d’ailleurs qu’elles ne seront pas divulguées sur le dark net.
DropCloud accompagne les professionnels de santé dans la mise en place d’une solution de sauvegarde de leurs données. Notre solution NeoBe Santé est certifiée ISO-27001et agréée HDS (hébergeur de données de santé).
Simple d’utilisation, NeoBe Santé vous offre toutes les garanties. Les sauvegardes s’opèrent de façon automatique, selon le rythme que vous choisissez. Vous disposez d’un rapport de sauvegarde. Le stockage des données s’effectue sur des serveurs distants, tous situés en France. Les données stockées sont chiffrées. Accessibles 24 heures sur 24, elles permettent une restauration immédiate en cas d’attaque et garantie par assurance. NeoBe vous permet de conserver une longueur d’avance face aux cyber agresseurs.