Les établissements de santé sont depuis quelques années un terrain de jeu pour les groupes de cybercriminels et notamment ceux diffusant des ransomwares. Au même titre que les écoles, les hôpitaux constituent une cible de choix avec un niveau de sécurité moins élevé que dans d’autres secteurs. Une étude menée par Cynerio montre les faiblesses particulières sur les équipements médicaux IoT. En effet, 53% de ses derniers présentent des risques en matière de cybersécurité. Cynerio fabrique des systèmes IoT pour le secteur de la santé et a analysé plus de 10 millions de dispositifs médicaux.

Dans le détail, le rapport a relevé que les pompes IV (intraveinseuses) représentent 38% de l’empreinte IoT d’un hôpital et que 73% de ces pompes présentent au moins une vulnérabilité. Elle peut être utilisée par des cybercriminels au mieux pour voler des données, au pire pour le tuer. « Les systèmes de santé présentent de multiples surfaces d’attaque de l’infrastructure même d’un hôpital à la numérisation accrue (voire totale) des dossiers médicaux », explique Liz Miller, analyste chez Constellation Research. « La pandémie a ouvert la boîte de Pandore pour les attaquants et c’est rapidement devenu une succession d’attaques sur les réseaux, les systèmes et les terminaux ».

Un patch management compliqué

Le problème des équipements de santé et que certains sont utilisés en permanence. 79% des dispositifs IoT sont utilisés au moins une fois par mois. « Un fois qu’un appareil médical sert pour un patient, il peut être utilisé pendant des jours ou des semaines », souligne Daniel Brodie, directeur technique de Cynerio. Il ajoute, « De nombreux dispositifs ont des exigences opérationnelles de 24 heures sur 24, 7 jours sur 7, et une interruption, même pour un correctif, pourrait avoir de graves conséquences sur les flux de travail médicaux, la sécurité des patients et les opérations hospitalières. »

Un autre facteur contribuant à ce que les appareils ne bénéficient pas de mises à jour en temps voulu est qu’un réseau hospitalier classique peut héberger une combinaison de terminaux de différents fournisseurs. Le patch management et le versioning deviennent trop complexe pour être réalisés dans les temps d’arrêt prévu, selon Daniel Brodie.

Linux à risque et Windows obsolète en soin intensif

Près de la moitié (48%) des appareils IoT analysés fonctionnaient sous Linux. Le problème est que « nous constatons une augmentation de ciblage des terminaux Linux par les groupes de ransomware dans les environnements IoT », glisse le dirigeant. « Les criminels ciblent leurs attaques, presque de manière personnalisée, en fonction de la configuration unique d’un hôpital. Cela prend plus de temps qu’une attaque de type « spary and pray », mais le potentiel de gain est plus élevé ».

Une autre conclusion clé du rapport est que, bien que seul un nombre marginal d'appareils IoT de santé fonctionnent sous Windows, le secteur des soins intensifs est globalement dominé par des équipements tournant sous d'anciennes versions de Windows. Elles sont généralement plus anciennes que Windows 10. On retrouve aussi ses environnements dans des activités hospitalières comme la pharmacologie, l'oncologie et les laboratoires.

Les ransomwares sont en tête des attaques IoT

Parmi les nombreuses cyberattaques visant le secteur de la santé, les ransomwares se sont révélés être les plus problématiques ces derniers temps. Le rapport de Cynerio a souligné qu'en 2021, les attaques de ransomware contre les hôpitaux ont augmenté de 123 % par rapport à l'année précédente, coûtant un total de 21 milliards de dollars pour plus de 500 attaques. Le coût moyen par attaque de ransomware s'est avéré être de 8 millions de dollars et on estime que le temps moyen de rétablissement prend environ 287 jours.

Dans une attaque typique, les terminaux qui tombent en panne sont ceux qui suivent les signes vitaux des patients, ainsi que les systèmes du dossier médical, précise M. Brodie. Vient ensuite l’arrêt des systèmes de communication, notamment le mail et les téléphones VoIP, ce qui rend difficile la transmission d’informations essentielles. Les établissements n’ont alors d’autre choix que de basculer en mode dégradé avec un retour au papier/crayon. Surtout que d’autres systèmes peuvent être touchés comme les scanners, les radios , les pompes à perfusion et à insuline, les imprimantes et d’autres équipements réseaux.

Le délicat équilibre de la segmentation du réseau

Plusieurs menaces sur les IoT de santé ont été récemment médiatisées comme Urgent/11 et Ripple20, mais elles ne représentent que 10% de l’ensemble des vecteurs d’attaques. Selon le rapport de Cynerio, les principales failles sont les CVE des téléphones IP Cisco (31%), des faiblesses dans les credentials http (21%) et l’ouverture du port http (20%)

Le rapport recommande la mise en quarantaine et la segmentation du réseau comme les techniques les plus efficaces pour remédier aux vulnérabilités, car l’application de correctifs est difficile pour les appareils IoT provenant de différents fournisseurs. Il souligne également qu’il faut trouver un bon équilibre des connexions réseaux. Pour cela, il privilégie un mix de segmentation est-ouest (appareil/appareil) et nord-sud (serveur/terminaux), un moyen d’assurer la sécurité sans perturber la connectivité. « Le contexte est important, spécifiquement dans un environnement de santé, vous ne pouvez pas avoir une segmentation interférant avec les flux de travail cliniques ou interrompant les soins aux patients. Il est donc essentiel de trouver un équilibre entre la connexion et la segmentation », indique M. Brodie. Et de citer pour conclure, l’exemple des pompes à perfusion qui pourraient être connectées uniquement aux serveurs des datacenters et non à d’autres serveurs ou dispositifs (dans une logique de segmentation nord-sud) auxquels il serait plus facile d’accéder.