sécurité données santé

Les données du secteur public et de la santé sous haute tension

12/04/2023
Données
Sécurité

En tant qu’expert des bases de données, nous sommes parfois les témoins des attaques visant les données stockées sur les bases de nos clients. Depuis 2021, nous avons observé une montée en puissance de ces attaques, avec une moyenne d’un incident de sécurité par mois déclaré chez nos clients. 

Dans quelle mesure le secteur public et le secteur de la santé sont-ils touchés ? 

Selon l’ANSSI, les collectivités territoriales représentent 19% de l’ensemble des entités victimes d’attaques par rançongiciel dans le cadre des incidents traités par l’ANSSI en 2021.  Les Etablissements Publics de santé représentent eux 7% des entités victimes d’attaques.* 
Au total, 30% des collectivités territoriales ont déjà été victimes d’un rançongiciel**. En 2020, les signalements d’attaques par rançongiciel ont été multipliés par 3,5 par rapport à 2019. Toutes les collectivités sont concernées, quelle que soit leur taille.***
Par ailleurs, le secteur de la santé semble de plus en plus touché puisqu’entre 2020 et 2021 les signalements d’incidents ont plus que doublé selon l’Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur santé.

Les enjeux de sécurité des données dans le secteur public et la santé

Les collectivités territoriales sont engagées dans une transformation numérique profonde qui vise à répondre aux obligations règlementaires mais aussi aux besoins des citoyens. La dépendance de plus en plus forte aux systèmes d’information et l’hétérogénéité de la taille des communes et collectivités crée une certaine fragilité.**** 
Si on se focalise sur les données de santé, elles font partie des données considérées comme sensibles par le RGPD. La CNIL les définit comme « les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne. »*****
Ces éléments expliquent au moins partiellement les statistiques ci-dessus, et les gros titres récents relatant des incidents de sécurité survenus dans les hopitaux, ou plus largement le secteur public

Quel cadre pour se prémunir des attaques dans le secteur public et la santé ? 

Pour les systèmes d’information d’importance vitale ou essentiels, l’ANSSI a mis en place un cadre qui comprend la définition d’une politique de sécurité des systèmes d’information, leur cartographie, l’analyse de risques des activités d’importance vitale ou des services essentiels ainsi que l’homologation des systèmes d’information et l’audit de sécurité

Les typologies d’attaques observées

Les principales attaques que nous avons pu constater sont dues à l’exploitation des éléments suivants:  
-    failles de sécurité (exploitation d’une vulnérabilité, …) 
-    mails de phishing
-    l’usurpation de compte de prestataire
-    Actifs exposés non patchés
-    Usurpation d’identité

Les conséquences de ces cyberattaques

Les conséquences que nous avons pu observer peuvent se présenter de manière isolée ou combinée. 
L’attaque peut être une simple fuite ou extraction de données. Dans ce cas, il est possible que l’on ne s’en rende pas compte immédiatement, notamment si la fuite n’est pas suivie par un chiffrement de données par exemple, ou si la source de la fuite est interne par exemple. 
Si c’est une attaque de type ransomware ou rançongiciel, il peut y avoir une demande de rançon pour obtenir la clé permettant de déchiffrer les données ou pour empêcher leur publication/diffusion. Il peut s’agir du chiffrement de données, de fichiers, de machines virtuelles, de sauvegardes, et dans les cas extrêmes, de la suppression de fichiers et sauvegardes.
Même en cas de paiement, il n’y a aucune garantie de déchiffrer les données ou d’éviter la fuite des données
D’un point de vue opérationnel, les dégâts peuvent aller de l’indisponibilité d’une application ou d’un service à l’indisponibilité totale du SI. Par exemple, on peut se retrouver sans moyens de communication (messagerie, téléphonie IP, indisponibilité des postes utilisateurs, d’une ou plusieurs applications, des annuaires d’entreprise) ou sans moyen de gestion des accès physiques aux sites. 

Le temps nécessaire pour un retour à une situation normale

Le temps pour revenir à une situation normale varie de quelques jours pour une attaque détectée rapidement à plusieurs mois pour une attaque qui a impacté profondément le SI. L’ANSSI nous explique ainsi que « certains établissements de santé ont été contraints de poursuivre leurs activités en mode dégradé pendant plusieurs mois, le temps de reconstruire ou de durcir leur SI afin qu’il soit plus résilient face aux menaces cyber. »

Les différentes phases 

La reconstruction du périmètre attaqué passe par les phases suivantes :

  • La phase d’identification de la menace 
  • La phase d’investigation : Etat des lieux de ce qui est touché – ce qui est sain – et ce qui est partiellement corrompu. Tout ce qui n’est pas garanti sain à 100% doit être reconstruit ou restauré. C’est le moment où l’on effectue la circonscription du périmètre de l’attaque.
  • le confinement : on coupe les accès internes et externes, 
  • la phase de remédiation : éradication des menaces
  • la phase de reconstruction du SI : validation opérationnelle des systèmes
  • Le suivi : pour tirer les leçons de l’incident

Une sécurisation des bases de données nécessaire

La sécurisation des bases de données est un prérequis à la phase de reconstruction, lorsque l’on remonte son SI, mais afin de ne pas arriver là, la prévention fait partie des meilleures mesures de protection.  Pour cela, il est indispensable de se faire accompagner par un expert afin d’identifier les meilleures solutions qui correspondent à vos besoins. 
Nos experts peuvent vous accompagner dans l’analyse et la gestion des risques avec un audit, une identification et un suivi des risques liés aux données. Ils peuvent aussi vous accompagner dans la Sécurisation des SGBD et Data Lake et ce dès la conception de la structure de données. Contactez-nous dès maintenant pour discuter de vos besoins liés à la sécurité de vos bases de données

Sources : 
*Panorama de la cybermenace 2022, ANSSI
**Etude du Clusif, juin 2020
*** infographie ANSSI
**** Revue stratégique de cyberdéfense (RSC) de 2018
***** https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante

 

main tenant une ampoule

Contactez-nous pour en savoir plus

Nos experts seront ravis de discuter de vos besoins et de mieux comprendre votre projet. 

Je contacte un expert
copy-link