Par ZACHARY AMOS
Le secteur de la santé n’est pas étranger aux cyberattaques. Pourtant, des incidents majeurs comme l’attaque de ransomware de février 2024 contre Change Healthcare suffisent à bouleverser le secteur. À la suite d’une violation aussi massive, les organisations médicales de tous types et de toutes tailles devraient profiter de l’occasion pour revoir leur posture de sécurité.
Que s’est-il passé lors de la cyberattaque Change Healthcare
Le 21 février, Change Healthcare — le plus grand centre d’information médical aux États-Unis — a subi une attaque de ransomware, l’obligeant à mettre hors ligne plus de 100 systèmes. Beaucoup de ses services électroniques sont restés indisponibles pendant des semaines, la restauration complète ayant duré jusqu’au début avril.
Une semaine après l’attaque, le tristement célèbre gang de ransomware-as-a-service BlackCat a revendiqué la responsabilité. BlackCat a également été responsable de la fermeture du Colonial Pipeline en 2021 et de plusieurs attaques contre des organisations de soins de santé tout au long de 2023. Ce dernier acte contre Change Healthcare est cependant l’un des plus perturbateurs à ce jour.
Parce que Change et sa société mère – UnitedHealth Group (UHG) – sont des acteurs centraux de l’industrie, le piratage a eu des répercussions à l’échelle de l’industrie. Un stupéfiant 94% des hôpitaux américains ont subi des conséquences financières de l’incident et 74 % ont subi un impact direct sur les soins aux patients. Les services de Change affectent un dossier patient sur trois, de sorte que la panne massive a créé un effet boule de neige de perturbations, de retards et de pertes.
La plupart des services pharmaceutiques et de paiement électronique de Change ont été remis en ligne le 15 mars. Début avril, presque tout fonctionnait à nouveau, mais les retombées financières continuent pour de nombreuses entreprises dépendantes d’UHG, en raison d’importants retards.
Ce que cela signifie pour le secteur des soins de santé dans son ensemble
Étant donné que la cyberattaque Change Healthcare a touché presque tout le secteur médical, elle a des implications importantes. Même les quelques groupes médicaux épargnés par le piratage devraient réfléchir à ce que cela signifie pour l’avenir de la sécurité des soins de santé.
1. Aucune organisation n’est une île
Il est difficile d’ignorer qu’une attaque contre une seule entité a touché presque tous les hôpitaux des États-Unis. Cet effet d’entraînement massif met en évidence le fait qu’aucune entreprise de ce secteur n’est une unité autonome. Les vulnérabilités tierces affectent tout le monde, c’est pourquoi une diligence raisonnable et des restrictions d’accès réfléchies sont essentielles.
Bien que le piratage de Change Healthcare soit un exemple extrême, ce n’est pas la première fois que le secteur médical est confronté à d’importantes violations de la part de tiers. En 2021, la Croix-Rouge a connu une violation de plus de 515 000 dossiers patients lorsque les attaquants ont ciblé son partenaire de stockage de données.
Les entreprises de soins de santé s’appuient sur plusieurs services externes et chacune de ces connexions représente une autre vulnérabilité sur laquelle l’entreprise a peu de contrôle. Compte tenu de ce risque, elle doit être plus sélective quant aux personnes avec lesquelles elle fait affaire. Même avec des partenaires de confiance comme UHG, les marques doivent restreindre autant que possible les privilèges d’accès aux données et exiger des normes de sécurité élevées.
2. La centralisation rend l’industrie vulnérable
Dans le même ordre d’idées, cette attaque révèle à quel point l’industrie est devenue centralisée. Non seulement les dépendances envers des tiers sont courantes, mais de nombreuses organisations dépendent des mêmes tiers. Cette centralisation rend ces vulnérabilités exponentiellement plus dangereuses, dans la mesure où une seule attaque peut affecter l’ensemble du secteur.
Le secteur des soins de santé doit dépasser ces points d’échec uniques. Certaines dépendances externes sont inévitables, mais les groupes médicaux devraient les éviter autant que possible. Il peut être nécessaire de répartir les tâches entre plusieurs fournisseurs pour réduire l’impact d’une seule violation.
Les changements réglementaires pourraient soutenir ce changement. Lors d’une audience du Congrès sur l’incident, certains législateurs a exprimé ses inquiétudes quant à la consolidation dans le secteur des soins de santé et les cyber-risques qu’il pose. Ce sentiment croissant pourrait conduire à une réorganisation à l’échelle du secteur, mais en attendant, les entreprises privées devraient prendre l’initiative de s’éloigner autant que possible des grandes dépendances centralisées.
3. Les entreprises de soins de santé ont besoin de plans d’intervention fiables
Les organismes de soins de santé doivent également prendre note de la durée et du coût du délai de réponse de l’UHG. Il a fallu des semaines pour restaurer les systèmes en panne, même après, semble-t-il, payer une rançon de 22 millions de dollars pour récupérer les données volées. C’est beaucoup trop long.
À mesure que la menace des ransomwares augmente, les entreprises de ce secteur doivent créer des plans d’intervention d’urgence. Cela inclut la préservation de sauvegardes sécurisées et hors ligne de toutes les données sensibles et la garantie de la redondance du centre de données pour les services critiques. Des protocoles de communication détaillés et un guide étape par étape pour se remettre d’une attaque sont également cruciaux.
Sans un plan de sauvegarde et de restauration complet, les entreprises se retrouveront dans une situation telle que Change Healthcare. Les ransomwares sont trop courants et trop perturbateurs pour supposer que le pire n’arrivera jamais. Les entreprises de soins de santé ont besoin des plans A, B et C pour minimiser les dégâts lorsque ces attaques se produisent.
4. La cybersécurité des soins de santé doit être plus proactive
L’attaque du ransomware Change Healthcare met également en évidence la nécessité d’une sécurité proactive. Bien que la cause exacte de la violation ne soit pas claire, BlackCat cible généralement les vulnérabilités du protocole Remote Desktop ou de ConnectWise ScreenConnect. Ces deux systèmes disposent de correctifs, de sorte qu’une gestion proactive des vulnérabilités pourrait stopper de nombreuses attaques.
Des vulnérabilités peuvent survenir dans de nombreux domaines des soins de santé, c’est pourquoi des tests d’intrusion détaillés et des évaluations automatisées sont nécessaires pour couvrir suffisamment de terrain. L’automatisation des mises à jour est tout aussi importante, car les attaquants évoluent rapidement dans ce secteur.
Les groupes médicaux doivent également mettre l’accent sur la formation des employés. Les erreurs font partie des menaces les plus persistantes dans ce secteur, avec 36% des violations de données découlant uniquement d’une mauvaise livraison. L’automatisation autant que possible et une formation approfondie en cybersécurité pour tout le personnel minimiseront ces risques.
5. Personne n’est en sécurité
Si le secteur de la santé ne retire rien d’autre de cet incident, il devrait comprendre qu’aucune organisation n’est en sécurité. UHG est l’une des plus grandes forces du secteur et a encore été victime d’une attaque. Des incidents similaires peuvent certainement affecter les petites entreprises disposant de budgets de sécurité plus serrés s’ils peuvent causer autant de dommages à UHG.
Il ne s’agit pas nécessairement de dépenses en matière de cybersécurité. Historiquement, la sécurité n’a représenté que 6% des budgets informatiques médicaux, mais plus de la moitié des établissements de santé prévoyaient d’augmenter leurs budgets de cybersécurité en 2023. Cette tendance se poursuivra probablement en 2024 et au-delà également. Cette croissance est importante, mais la faille Change montre que l’argent seul ne suffira pas à arrêter les cybercriminels.
Investir dans des solutions de sécurité avancées est crucial. Cependant, les marques ne doivent pas faire preuve de complaisance simplement parce qu’elles disposent de budgets de cybersécurité relativement élevés. Une vigilance constante et une planification de rétablissement d’urgence restent nécessaires.
Le Change Healthcare Hack met en évidence la nécessité du changement
À mesure que la numérisation des soins de santé augmente, les hôpitaux et leurs organisations partenaires deviendront des cibles de plus en plus populaires pour les gangs de ransomwares. Ce dernier incident devrait servir de sonnette d’alarme sur ce problème. Les approches en matière de sécurité dans le secteur doivent changer.
Le chemin à parcourir est long et difficile. Cependant, assumer cette responsabilité dès maintenant peut éviter aux entreprises des pertes substantielles.
Zac Amos couvre les rôles de la cybersécurité et de l’IA dans les soins de santé en tant que rédacteur en chef de ReHack et contributeur à VentureBeat, The Journal of mHealth et Healthcare Weekly.