La convergence croissante entre les tactiques des États-nations et celles des groupes criminels cybernétiques représente une menace inédite pour les établissements de santé, les rendant plus vulnérables aux attaques et complexifiant leur attribution. Une nouvelle étude des organisations H-ISAC et CI-ISAC Australie révèle que les gouvernements recourent de plus en plus à des cybercriminels, parfois via des sous-traitants, pour mener des opérations en ligne.
Cette tendance, selon le rapport, offre aux adversaires des ressources accrues, un déni de responsabilité plausible et accélère les attaques susceptibles de perturber les systèmes cliniques, les flux de revenus et les connexions avec des tiers. Les hôpitaux se retrouvent ainsi confrontés à une combinaison de compétences étatiques et de l’agilité opportuniste des criminels.
« Une veille proactive en matière de renseignement est essentielle pour les organisations qui cherchent à naviguer dans un paysage de menaces opaque », souligne le rapport.
La Russie et les ransomwares : un terrain d’entente
Les groupes de ransomwares russophones illustrent particulièrement cette convergence. Ils respectent des règles tacites, évitant de cibler des entités russes ou alignées sur la Communauté des États indépendants (CEI) lorsqu’ils attaquent des organisations occidentales. Cette pratique crée une sorte de zone de sécurité qui maintient des talents disponibles pour les besoins de l’État. Le rapport indique que des opérateurs liés à l’armée russe réutilisent des outils et des infrastructures initialement développés par des criminels pour atteindre des objectifs géopolitiques, permettant ainsi aux opérations d’évoluer rapidement tout en rendant leur attribution plus difficile.
Pour les responsables informatiques des hôpitaux, cela signifie qu’une intrusion motivée par des gains financiers peut rapidement se transformer en une extorsion de données ou en un incident perturbateur aligné sur les priorités d’un État.
La Corée du Nord : la cybercriminalité au service du régime
La Corée du Nord va encore plus loin, finançant son régime par le biais de la cybercriminalité. Selon l’étude, des opérateurs nord-coréens ont volé des sommes considérables en cryptomonnaies et ont même mis en place des réseaux de « travailleurs à distance » frauduleux pour siphonner les salaires. Les bénéfices sont ensuite réinvestis dans des programmes d’armement. Le rapport précise que les groupes de renseignement commettent également des vols pour financer des infrastructures, brouillant ainsi la frontière entre espionnage et collecte de fonds.
Pour les systèmes de santé, cela se traduit par une exposition accrue au phishing d’informations d’identification, à la compromission de fournisseurs et à une persistance des menaces, visant à la fois la monétisation et le renseignement.
Iran et Chine : mandataires, sous-traitants et ampleur
Le modèle iranien s’appuie sur des groupes hacktivistes et des organisations alignées. Téhéran fournirait des outils et des ressources à des collectifs favorables aux attaques par déni de service distribué (DDoS), aux dégradations de sites web et à la divulgation opportuniste de données – des tactiques qui peuvent distraire les équipes de sécurité et dégrader les services destinés aux patients.
La Chine, quant à elle, bénéficie d’un vaste marché de sous-traitants offensifs chargés de soutenir les objectifs de l’État. Des fuites récentes révèlent un soutien important du secteur privé, un ciblage de la chaîne d’approvisionnement et des ventes massives d’accès initial qui peuvent traverser les réseaux américains avant d’atteindre leur cible finale. Pour les hôpitaux, cela amplifie les risques liés aux tiers et augmente la probabilité que des connexions de routine avec des fournisseurs deviennent des points d’entrée pour des attaquants.
« Le fondement de ces relations est la corruption institutionnalisée », conclut le rapport.
Atténuation : des bases à la résilience
Le rapport recommande de commencer par des mesures fondamentales : application rapide des correctifs de sécurité sur les serveurs, les terminaux, les VPN, les équipements réseau et les objets connectés (IoT) ; authentification multifacteur (MFA) forte (de préférence avec des codes basés sur le temps) ; et utilisation de mots de passe uniques via un gestionnaire. Les systèmes de santé devraient également conserver des sauvegardes testées, des procédures de restauration vérifiées, des inventaires à jour des actifs et des plans de réponse aux incidents et de continuité des activités régulièrement répétés.
À mesure que les programmes évoluent, la mise en liste blanche des applications, le blocage des macros, la segmentation du réseau et l’accès selon le principe du moindre privilège peuvent réduire les mouvements latéraux et l’impact d’une intrusion (et non pas si elle se produit). Le partage d’informations est un atout majeur : le renseignement prospectif et les rapports communautaires accélèrent la détection, fournissent un contexte sur les tactiques, techniques et procédures (TTP) en évolution et aident à définir des plans d’action réalistes pour les scénarios DDoS et d’extorsion.
Points clés à retenir :
- Établir une fonction de renseignement permanente : s’abonner aux flux ISAC du secteur, adapter les détections aux TTP actuels des adversaires et diffuser des briefings hebdomadaires aux équipes de réponse aux incidents et réseau.
- Renforcer en priorité les mesures de base : corriger les systèmes externes, appliquer l’authentification multifacteur partout où possible et modifier les informations d’identification exposées lors d’incidents impliquant des tiers.
- Traiter les fournisseurs comme des points d’extrémité : cartographier les flux de données critiques, exiger des accords de niveau de service (SLA) pour des correctifs rapides et surveiller l’accès des fournisseurs de services gérés (MSP), des émetteurs de factures, des archives d’imagerie et des connecteurs cloud.
- Se préparer aux attaques DDoS : activer le filtrage et le nettoyage du trafic en amont ; élaborer des plans de basculement pré-construits pour les portails patients et la télésanté.
- Anticiper les ransomwares et les perturbations : tester la restauration des sauvegardes vers les objectifs de point de récupération (RPO) et de temps de récupération (RTO), simuler des procédures d’arrêt clinique et valider la continuité des systèmes essentiels.
- Limiter les mouvements latéraux : segmenter les réseaux par fonction clinique, mettre en œuvre la liste blanche des applications, bloquer les macros à risque et appliquer le principe du moindre privilège.
- Mesurer l’état de préparation : maintenir un inventaire des actifs, effectuer des évaluations régulières des risques et suivre les progrès des mesures recommandées au niveau du conseil d’administration.
Compte tenu de la liaison étroite entre les motivations étatiques et criminelles dans les domaines des ransomwares, des DDoS et des attaques de la chaîne d’approvisionnement, les dirigeants doivent considérer les perturbations comme une hypothèse de planification. Le rapport souligne : « Ce n’est pas parce que vous ne vous intéressez pas à vous défendre contre les acteurs étatiques que les acteurs étatiques ne s’intéressent pas à vous. »
