Cyberattaques dans le secteur de la santé : les 4 plus grands risques liés aux bots pour l’industrie médicale

Cyberattaques dans le secteur de la santé : les 4 plus grands risques liés aux bots pour l’industrie médicale

Les pirates informatiques adorent la médecine. Plus que tout autre secteur, hormis peut-être les gouvernements, l’industrie de la santé est confrontée à de lourdes cyberattaques et ce, à un rythme quasiment ininterrompu.

La conséquence ? Un nombre moyen de bases de données exposées plus élevé que dans tous les autres secteurs d’activité.

Dans son enquête de 2015 consacrée à la cybersécurité dans le domaine médical, l’institut KPMG a découvert que 81 % des établissements de santé avaient été concernés par au moins un programme malveillant, un botnet ou une autre cyberattaque au cours des deux années précédentes.

Qui plus est, depuis cette date, les pirates informatiques n’ont cessé de renforcer leur niveau de sophistication. À titre d’exemple, dans leurs tentatives visant à dérober des dossiers médicaux et des informations de santé protégées (ISP), les cybercriminels ont aujourd’hui recours à des bots évolués qui remplissent automatiquement, et à un rythme extrêmement rapide, les pages de connexion avec des noms d’utilisateur et des mots de passe usurpés. Ce phénomène connu en anglais sous le nom de « credential stuffing » représente une menace majeure pour n’importe quel organisme de santé.

Celle-ci ne se limite d’ailleurs pas aux établissements hospitaliers : les mutuelles, laboratoires, prestataires de soins et autres entreprises pharmaceutiques qui stockent des informations médicales, ou qui sont liés de quelque manière que ce soit à l’industrie de la santé, sont unanimement exposés au risque de cyberattaques conduites par des bots.

Quant à l’enjeu, il est énorme. Nous allons voir quatre biais par lesquels les cyberattaques peuvent causer un impact à votre entreprise, ainsi que les moyens de vous en prémunir

Des vies menacées

Toute perturbation de l’écosystème numérique d’un organisme médical met en danger la vie des individus. Prenons le cas de la cyberattaque dirigée contre le groupe hospitalier Care New England, qui a provoqué l’affichage d’un message d’erreur sur le serveur de son site Web, visible par toute personne tentant d’y accéder. Jusque-là, les patients utilisaient ce site pour communiquer avec leur médecin, accéder à leurs résultats d’examens, demander le renouvellement de leurs ordonnances, et bien plus encore. Durant cette attaque, les employés ont dû se résoudre au bon vieux système papier/stylo pour gérer les dossiers des patients.

Nous vivons désormais à une époque où tout est en ligne et connecté. Les informations médicales sont stockées dans des bases de données numériques, des dispositifs IdO scrutent les signes vitaux d’un patient, des services de prescription automatisés indiquent aux patients quels médicaments prendre, et à quel moment…

Si les pirates informatiques aiment tant extorquer les organismes de santé, c’est parce que tout dysfonctionnement, y compris une simple perturbation de la messagerie électronique, est de nature à mettre la vie de gens en danger. Une pression énorme est alors exercée sur l’organisation visée, afin qu’elle cède aux exigences des pirates.

Préjudice en termes de réputation

Il serait erroné de croire les violations de données laissent les patients indifférents. C’est tout le contraire, et si vous avez été victime d’une attaque, ils se tourneront vers d’autres alternatives. Cette réalité a été confirmée dans une étude réalisée en 2015 par Kwon et Johnson, dont il ressort que les failles de ce type ont causé, en l’espace de trois ans, une réduction considérable du nombre de consultations externes et d’admissions.

Il n’est donc guère surprenant que les patients ne vous accordent plus aisément leur confiance pour protéger leurs informations médicales si vous avez déjà été victime d’un piratage. Dans leur analyse de 2018, Choi et Johnson révèlent que les établissements hospitaliers ayant subi une violation de données ont dû augmenter de 64 % leur budget publicitaire après l’attaque.

Cette dépense contrainte a été en partie consacrée à restaurer leur image de marque et à réduire au minimum la perte de patients au profit d’établissements concurrents. Malgré cela, il reste difficile de rétablir la confiance une fois que vous l’avez perdue.

Sanctions réglementaires

Aux États-Unis, les ISP sont régies par un cadre réglementaire reposant sur la loi HIPAA. Le RGPD en représente l’équivalent européen le plus proche. Ces deux dispositifs juridiques prévoient de lourdes pénalités, qui se chiffrent aisément à plusieurs centaines de milliers d’euros, en cas d’infraction avérée aux strictes lois relatives à la confidentialité des données. La loi HIPAA, en particulier, est appliquée avec une grande rigueur. Au 31 juillet 2020, le Bureau américain des droits civiques avait prononcé ou imposé une pénalité financière dans 77 cas, pour un montant total de 117 368 582 dollars.

D’une manière générale, les cyberattaques visant le secteur de la santé coûtent cher. Une enquête réalisée en 2016 par IBM et Ponemon indique que les violations de données reviennent en moyenne à 402 dollars par dossier volé en termes de coûts directs et indirects, soit le montant le plus élevé parmi tous les secteurs fortement réglementés. De plus, le coût total moyen d’une violation de données s’est accru de 7 % en un an.

Perte de productivité

La perte d’accès à l’un des outils numériques utilisés par vos employés en raison d’une cyberattaque se traduit par une perte immédiate de productivité. Imaginez que vous perdiez l’accès à votre messagerie électronique, à votre logiciel de facturation ou au portail que vous utilisez pour communiquer avec vos clients. Tant que les perturbations durent, votre niveau de productivité sera moindre. Il en va de même pour les employés du secteur de la santé.

Mais ce n’est pas tout ! Lors d’une cyberattaque, les employés du secteur de la santé doivent souvent passer en mode de gestion de crise et accomplir des actes auxquels ils n’auraient jamais été contraints en temps normal. En cas de violation de données, vos employés devront par exemple effectuer certaines tâches telles que créer une base de données contenant les coordonnées des patients concernés, gérer les rappels par e-mail, répondre aux communications entrantes, etc. Là encore, il en résulte une perte nette de productivité pour votre organisation, car ces tâches sont effectuées au détriment du temps qui aurait pu être consacré à leur vrai travail.

Comment vous protéger contre les cyberattaques robotisées dans le domaine de la santé

Toutes ces répercussions, cela va de soi, semblent assez injustes. Aucun organisme de santé ne souhaite être victime d’un piratage, ni encore moins mettre la vie des gens en danger, perdre sa réputation, faire face à des sanctions réglementaires et voir ses employés passer leur temps à tenter de réparer les pots cassés.

Quelle protection adéquate adopter contre des pirates informatiques déployant des robots de plus en plus élaborés ?

Si certaines solutions techniques telles que l’authentification multifactorielle ou les limites de débit sont utiles pour protéger vos informations numériques, elles demeurent insuffisantes. Ce qu’il vous faut, c’est une solution de protection anti-bots.

DataDome protège des dizaines de milliers d’entreprises contre les attaques robotisées les plus évoluées. Notre solution se déploie en quelques minutes sur n’importe quelle infrastructure Web et bloque les cyberattaques menées par les robots en temps réel. Lorsque les pirates informatiques constatent que tous leurs bots sont interceptés par une solution avancée de protection anti-bots, ils se détournent vers des cibles plus faciles.

Essayez DataDome gratuitement pendant 30 jours. Notre logiciel vous indiquera en temps réel le trafic automatisé vers vos sites Web, vos API et vos applications, et vous donnera une idée des menaces automatisées qui planent sur votre entreprise. Démarrez votre essai gratuit dès aujourd’hui, et recevez une évaluation complète des menaces de bots réalisée par l’un de nos experts.