Blog WatchGuard

Le système de santé irlandais paralysé par une attaque par ransomware

En mai dernier, la direction du Health Service (HSE) irlandais a subi une grave cyberattaque par ransomware. L’attaque a eu lieu à l’aube et son impact a été tel que l’institution a été contrainte de fermer temporairement ses systèmes informatiques en attendant de résoudre l’incident. Cette attaque a causé de nombreux problèmes affectant les prestations de services et les soins médicaux prodigués par l’organisation.

Premièrement, tous les rendez-vous de la journée, à quelques exceptions près (femmes enceintes de 36 semaines ou plus) ont été annulés. Pendant ces heures, de nombreuses informations des patients déjà admis ont dû être enregistrées à la main sur papier. Même si le calendrier de vaccination pour la COVID-19 n’a pas été particulièrement affecté, des retards ont été constatés dans la communication des résultats des tests. Parmi les services les plus touchés, on retrouve ceux de cancérologie et de radiologie de plusieurs hôpitaux, qui ont également dû cesser leurs activités.

En raison des conséquences de l’incident, il n’est pas surprenant que le directeur du HSE l’ait qualifié de cyberattaque la plus grave jamais perpétrée contre l’État irlandais. Peu après l’incident, Taoiseach (Premier ministre irlandais) Micheál Martin a assuré que les autorités ne céderaient pas au chantage exercé par les pirates informatiques ni ne paieraient aucune rançon.

Cela n’a en rien dissuadé les pirates informatiques de poursuivre leur méfait, car ils ont publié en ligne un premier échantillon de données médicales de 12 patients, avant de publier les données de 520 autres patients à la fin mai. Savons-nous au juste quel ransomware a été utilisé et quels sont les auteurs ?

Les forces de sécurité et les analystes ont vite identifié l’outil Conti, un ransomware mis au point par le groupe russe Wizard Spider, qu’il offre à ses affiliés sous un modèle RaaS (Ransomware-as-a-Service). Le vecteur d’attaque comprend généralement des emails d’hameçonnage contenant des liens Google Docs, qui téléchargent le programme de chargement de l’outil sur les systèmes lorsqu’un utilisateur clique dessus. Une fois exécuté, il verrouille tous les systèmes avec le chiffrement AES-256.

Sauvegardes, mises à niveau, meilleures pratiques et protection complète des postes de travail

Les informations sur Conti que nous venons de partager proviennent d’un autre service de santé publique, à savoir la division numérique et technologie du NHS britannique. Conti est déjà connu pour ses activités à l’encontre des organisations du secteur de la santé. À en juger par les dégâts qu’il est susceptible de causer comme ce fut le cas en Irlande, les institutions et les établissements de santé doivent mettre en place une stratégie de cybersécurité, en coordination avec leur prestataire de services gérés afin d’être mieux préparés à faire face à de tels incidents. Cette stratégie doit comprendre les mesures suivantes.

  • Sauvegardes de tous les systèmes : ils doivent être stockés régulièrement, à plusieurs endroits, et certains entièrement hors ligne.

     
  • Bonnes pratiques en matière de cybersécurité : on considère souvent que les individus sont la première ligne de défense, mais ils sont aussi un facteur que les pirates informatiques aiment souvent exploiter en les dupant et en ayant recours à la manipulation psychologique. Si le personnel est suffisamment formé aux menaces, il hésitera davantage à ouvrir des emails ou des liens dans des emails qui semblent suspects, comme ce fut le cas avec Conti.

     
  • Mises à jour : les failles des systèmes d’exploitation et des logiciels tiers tels que Java, Adobe, Firefox et d’autres sont un autre point d’entrée pour les ransomwares. Il est par conséquent impératif que tout le monde dispose au plus vite des dernières mises à jour de sécurité.

     
  • Protection complète des postes de travail : les mesures ci-dessus sont pourtant loin d’être suffisantes en raison du nombre croissant et de la sophistication toujours plus grande des cyberattaques actuelles. Les prestataires ont besoin d’un service sophistiqué de prévention, de détection et de réponse aux menaces sur le poste de travail qui fournit une protection complète. WatchGuard EPDR (Endpoint Protection Detection and Response) représente une solution de premier ordre allant de pair avec le service Zero Trust Application et le service Threat Hunting inclus sans supplément. Celle-ci est également intégrée aux autres solutions de cybersécurité dans WatchGuard Cloud afin de constituer une plateforme de cybersécurité unifiée qui permet aux prestataires de gérer la sécurité du réseau, des postes de travail et de l’authentification multifacteur à partir d’une console unique, fournissant une protection multi-niveaux pour les clients, tout en simplifiant la gestion de l’ensemble.