Un groupe hacktiviste apparemment pro-iranien, connu sous le nom de Handala, aurait récemment effacé les données de plus de 200 000 systèmes liés à l’environnement de gestion des appareils de Stryker, provoquant une onde de choc dans le secteur de la santé. Cet incident, survenu plus tôt cette année, a non seulement perturbé les opérations de l’entreprise, mais a aussi mis en lumière une nouvelle dynamique des cyberattaques : les adversaires ne recherchent pas toujours une rançon, mais peuvent plutôt viser à instaurer le chaos.
Cette distinction est cruciale, et beaucoup d’établissements de santé n’ont pas encore pris la mesure de cette menace émergente.
Un nouveau calcul de menace
La stratégie de cybersécurité dans le secteur des soins de santé a évolué depuis près d’une décennie pour répondre principalement aux ransomwares. Les protocoles étaient simples : sécuriser les points de terminaison, sauvegarder les données, et établir un plan de rétablissement. Bien qu’indispensables, ces mesures visent des attaquants motivés par l’argent, espérant restaurer les systèmes après avoir reçu une rançon.
En revanche, les assaillants agissant pour des raisons géopolitiques poursuivent des objectifs totalement différents. Ces groupes, qui opèrent souvent au nom d’États-nations, cherchent à démontrer leur puissance, engendrer le désordre ou riposter contre des ennemis perçus. Ils s’équipent de logiciels malveillants destructeurs, d’effaceurs de données et d’opérations de désinformation. Leur but n’est pas de gagner de l’argent, mais de provoquer une paralysie.
Les infrastructures de santé représentent une cible privilégiée en raison des conséquences graves de toute perturbation. Les hôpitaux ne peuvent facilement se déconnecter; les dispositifs médicaux ne peuvent pas toujours être arrêtés en toute sécurité. Une chaîne d’approvisionnement interrompue peut entraîner des retards dans les interventions chirurgicales et compromettre la gestion des médicaments, affectant directement les résultats des patients et la perception du public. Pour un adversaire cherchant à instiller la peur et à miner la confiance dans les institutions, cibler les soins de santé est un moyen particulièrement efficace.
La supply chain est la surface d’attaque
Le récent incident impliquant Stryker illustre un risque que le secteur tarde à assimiler : la surface d’attaque de la santé va bien au-delà du périmètre des hôpitaux. Chaque fournisseur, fabricant d’appareils et fournisseur de logiciels ayant accès à un système de santé représente un point d’entrée potentiel. Les hôpitaux modernes s’appuient sur des centaines de systèmes tiers, ce qui crée une efficacité mais expose également à des risques. Une cyberattaque contre un fournisseur peut perturber les environnements cliniques, impactant ainsi les soins aux patients.
À la suite de l’incident Stryker, des hôpitaux du Michigan ont pris la précaution de déconnecter certains dispositifs médicaux et de recourir à des systèmes de communication de secours. Bien que ces actions soient appropriées, elles révèlent également une vulnérabilité déconcertante, où les établissements réagissent à un événement qu’ils n’ont pas provoqué et qu’ils n’auraient pas pu éviter grâce à leurs propres mesures de sécurité. Ce phénomène souligne la nécessité d’une approche plus sophistiquée du risque des tiers, qui dépasse souvent ce que les programmes de gestion des fournisseurs actuels peuvent offrir.
Le cadre fédéral : Renforcer la résilience dans tous les secteurs
Le gouvernement américain est conscient des vulnérabilités interconnectées des infrastructures critiques depuis plusieurs années. Le Mémorandum de sécurité nationale 22 (NSM-22), signé en avril 2024, a mis à jour le cadre national pour la protection des infrastructures critiques, reconnaissant que l’environnement de menace avait évolué de la lutte contre le terrorisme vers la compétition stratégique et l’activité cybernétique des États-nations. Plus récemment, la cyber-stratégie de l’administration Trump a souligné les soins de santé comme une priorité clé pour le renforcement de la chaîne d’approvisionnement, aux côtés de secteurs comme l’énergie et les télécommunications. Les avertissements réguliers de la Cybersecurity and Infrastructure Security Agency (CISA) confirment la nécessité de vigilance accrue face à des adversaires ciblant des systèmes essentiels.
Le secteur de la santé a également mis en place un mécanisme de coordination, par le biais du Conseil de Coordination du Secteur de la Santé (CCSS), un partenariat public-privé destiné à aligner les défenses du secteur. Ce groupe a élaboré des lignes directrices sur les risques liés à la chaîne d’approvisionnement, la sécurité des dispositifs médicaux et la gestion des incidents, bien que ces ressources soient souvent sous-utilisées dans les organisations plus petites.
Cet été, le HSCC prévoit de lancer un cyber-exercice national, une simulation de type d’attaque coordonnée à grande échelle sur plusieurs installations et systèmes critiques dans le secteur de la santé. De tels exercices permettent de dévoiler des lacunes souvent invisibles lors de discussions ou d’évaluations théoriques. Les équipes qui y participent repartiront avec une meilleure compréhension de leur résilience et des pistes d’amélioration.
Repenser la défense pour un autre type d’adversaire
Face à des attaquants à motivation géopolitique, les établissements de santé doivent repenser leur approche de la cybersécurité et de la résilience. Cela implique une compréhension pointue des motifs et des méthodes de l’adversaire. Chaque organisation doit avoir accès à des informations sur les menaces spécifiques à leur secteur, afin de savoir quels acteurs sont actifs, leurs tactiques et l’impact potentiel des récents événements géopolitiques sur le secteur de la santé.
Les organisations doivent également évaluer si leurs contrôles existants sont adaptés aux nouvelles menaces. Bon nombre d’entre elles ont conçu leurs défenses en fonction des ransomwares, tandis que les cyberattaques destructrices suivent des schémas différents et nécessitent des protocoles adaptés. En outre, il est crucial d’améliorer les programmes de gestion des risques liés aux fournisseurs afin de mieux comprendre les dépendances allaitant leurs opérations.
Enfin, les établissements doivent renforcer leur capacité de détection et de réponse, et ne pas se limiter à la prévention. Les attaquants motivés par des considérations géopolitiques disposent souvent de vastes ressources et de la patience. Investir dans des outils de surveillance continue et des systèmes de réponse aux incidents peut soulager l’impact d’une attaque lorsqu’une intrusion réussit.
L’interconnectivité est la nouvelle norme
La tendance à considérer les incidents de cybersécurité comme des problèmes externes doit cesser. L’incident Stryker illustre que l’écosystème de la santé est profondément interconnecté, et qu’une attaque peut avoir des conséquences bien au-delà d’un seul fournisseur ou système. Le gouvernement a classé les soins de santé comme une infrastructure essentielle, et il est crucial que les dirigeants du secteur intégrent la cybersécurité comme un impératif opérationnel à tous les niveaux.
Un prochain incident est inévitable, et les forces géopolitiques responsables de ces attaques ne faibliront pas. Si le secteur de la santé aspire à un meilleur niveau de protection, il doit agir avec diligence pour renforcer sa résilience face à des menaces en constante évolution.
