Cybersécurité dans le domaine de la santé et pharmaceutique, état de la situation

On compte parmi les victimes dont les médias ont parlé le géant pharmaceutique américain ExecuPharm ou encore la pharmaceutique Pierre Fabre en France, et parmi celles qui ont été médiatisées au Canada, Humber River Hospital de Toronto en juin 2021, CIUSSS du Centre-Ouest-de-l'Île-de-Montréal en 2020.

Dans une récente étude de juin 2021, le Programme de cybersécurité du département de la santé et des services sociaux des USA dresse un portrait alarmant de la situation, et les chiffres parlent d’eux-mêmes :

  • 82 organisations dans le domaine de la santé et pharmaceutiques ont été victimes de ransomwares entre Janvier et Mai 2021. 60% de ces ransomwares ont impacté le secteur de santé des USA
  • Les ransomwares Avaddon et Conti ont été les plus agressifs (16 cas chacun), suivi de Sodinoki (7 cas).
  • Dans 72% des cas, le ransomware a exfiltré les données.15% des organisations n’ont pas été en mesure de confirmer si des données ont été infiltrées et 13% confirment que des données n’ont pas été volées.


L'enquête dit : Ransomware !

HSS a aussi conduit un sondage auprès des organisations dans le secteur de la santé et pharmaceutique et les résultats sont les suivants:

  • 34% des organisations dans ces serveurs ont subi un incident de sécurité en 2020.
  • Dans 65% des cas, les données ont été chiffrées par les pirates
  • 44% des organisations ont restaurées leurs données à partir de sauvegardes
  • 34% des victimes ont payé une rançon
  • 93 % des organisations victimes ont récupéré leurs données, mais seulement 69 % des données cryptées ont été restaurées.
  • Les montants de rançon moyens étaient de 131 000$.
  • Toutefois, la facture moyenne pour corriger la situation et se relever de l’attaque - incluant les interruptions de service, le temps des personnes impliqués dans la gestion de l’incident , du coût des matériels et logiciels, le montant de la rançon, etc.) était de 1,27 million de dollars.


Pourquoi ces secteurs sont attrayants pour les pirates ?

Lorsque les pirates mènent une attaque par ransomware, ils ciblent en priorité les secteurs où l’impact du chiffrement des données peut être majeur. Plus l’impact est grand et plus la capacité de négocier des victimes diminue, ce qui est la situation idéale pour les pirates. Dans certains cas, les victimes vont même verser une rançon même s’ils sont des sauvegardes, car les délais de restauration des données sont jugés excessivement longs.

L’autre élément qui rend ce secteur attrayant pour les pirates est la présence de “Propriété intellectuelle et aux informations confidentielles liées aux travaux de recherche” (nouveau médicament, etc.).

Il va s’en dire qu’une entreprise dont la propriété intellectuelle a été exfiltrée aura tendance à envisager de verser une rançon, même si elle dispose de sauvegarde.

Les firmes impliquées dans les recherches liées à la COVID sont tout particulièrement ciblées, tant par des groupes de cybercriminels que par des acteurs étatiques. Ainsi, selon Mr David Vigneault, le chef des services de renseignements Canada, il y a une croissance des cyberattaques de tiers pays (Russie, Chine, etc.) ciblant le Canada. Les secteurs les plus ciblés sont la Santé, les biopharmaceutiques, etc.

Il faut aussi noter que les chaînes d’approvisionnement dans le secteur pharmaceutique sont complexes, ce qui fait qu’une faille chez un partenaire peu sécurisé vous met à risque.

Enfin, les secteurs de la santé et pharmaceutique ne sont pas connus comme étant les plus sûrs. En effet, on y retrouve de vieux systèmes non supportés (Windows XP, 2008, etc.), des contrôles d’accès souvent approximatifs et plusieurs faiblesses au niveau de la sécurité. De plus, avec le passage massif au télétravail dû à la COVID, plusieurs organisations ont mis en place des mesures d’accès à distance (VPN, RDP, etc.) dont certaines sont peu sécurisées. Les pirates le savent et vont cibler ces secteurs car cela augmente la probabilité de succès de leurs attaques.

Ce que nous enseigne ces chiffres

  • Les secteurs de la santé et pharmaceutique vont continuer à être des cibles de choix pour les pirates. Les techniques de double extorsion (chiffrement de données et menace de publier les données en cas de non paiement de rançon suite au chiffrement) vont continuer car elles semblent réussir aux pirates.
  • Dans ces secteurs si vous avez été victimes de ransomware, il y a de fortes chances que vos données aient été infiltrées. Vous devez donc impérativement faire des vérifications pour vous en assurer car votre propriété intellectuelle peut être en jeu
  • Verser une rançon ne nous assure pas que vous allez pouvoir restaurer vos données. Les piratent peuvent disparaître ou le déchiffrement peut corrompre vos données.
  • Le montant de la rançon est dérisoire comparée aux coûts totaux nécessaires pour recouvrir vos systèmes et revenir en production de façon normale (131 000$ vs 1.27M en moyenne).


La situation est-elle différente au Canada?

Absolument pas. Le secteur de la santé et les compagnies pharmaceutiques au Canada présentent des similarités avec les USA. Nous avons d’ailleurs observé une augmentation significative des attaques ciblant ces secteurs depuis le passage massif au télétravail dû à la COVID-19.


Comment Streamscan peut vous aider?

Streamscan a une longue expertise en matière de cybersécurité dans le domaine de la santé et pharmaceutique. Nous gérons au quotidien la sécurité de plusieurs organisations chefs de fil dans ces secteurs, soit à travers notre service MDR ou notre technologie de détection de cybermenaces CDS.

Notre forte connaissance de ces secteurs nous a permis de connaître les faiblesses généralement utilisées pour pirater les entreprises, ce qui nous permet de gérer leur sécurité de manière proactive.

Via des canaux officiels, nous accédons aussi à de l’information stratégique sur les cyberattaques qui ciblent le secteur de la santé et pharmaceutique au Canada et les groupes impliqués, ce qui vous permet de rester constamment vigilants, d’adapter notre technologie CDS à ces réalités et d’appliquer les mesures requises en continu afin de garder nos partenaires en sécurité.

Besoin d'aide ? StreamScan est là.

Que vous ayez besoin d'aide pour mener un audit de sécurité, élaborer un plan de sécurité ou mettre en œuvre une solution de Détection et Réponse Gérées (MDR), StreamScan dispose d'experts ayant des années d'expérience dans le secteur manufacturier qui peuvent vous aider. Contactez-nous à l'adresse securitepme@streamscan.ai ou appelez-nous au 1 877 208-9040.