Cyber-attaques contre les hôpitaux - réelles ?


D'une part, on a appris qu'un hôpital aux États-Unis avait payé une rançon à des cybercriminels pour décrypter des systèmes cryptés. D'autre part, la presse a annoncé que des hôpitaux allemands avaient également été victimes de cyberattaques et avaient dû suspendre leurs activités.
A cela s'ajoute le fait que depuis quelque temps, un nouveau cheval de Troie de cryptage appelé "Locky" sévit et infecte les systèmes avec beaucoup de succès. Si l'on mélange tout cela, on obtient des titres sensationnels du type "Les cybercriminels attaquent les hôpitaux allemands".
Et dans la perception du public, les hôpitaux ont été victimes d'attaques ciblées - contre lesquelles, comme chacun sait, on ne peut pas se défendre. Parler ici d'"attaques" est pour le moins "négligemment inexact".
Les personnes concernées ont tout simplement été victimes de chevaux de Troie de cryptage "normaux", comme il en existe en quantité depuis des années. Ils n'ont pas été spécialement introduits dans ces hôpitaux et n'ont pas été développés à cet effet. Les hôpitaux ont simplement eu la malchance de voir l'un de ces chevaux de Troie s'exécuter sur leurs systèmes internes.
Et contrairement aux personnes privées, ce ne sont pas des images privées ou autres qui ont été cryptées, mais des données nettement plus sensibles. Mais : il ne s'agissait ni d'attaques ciblées ni de quelque chose de fondamentalement nouveau !
En termes simples, la probabilité montre son mauvais visage : après que les utilisateurs privés aient été les premiers à en souffrir dans le passé, les hôpitaux sont désormais touchés.
En toute rigueur, il est étonnant qu'il ne se soit pas passé bien plus de choses auparavant. J'ai également lu qu'il s'agissait "d'attaques comme celles que l'on a vues auparavant sur d'autres secteurs industriels" et "d'armes cybernétiques inconnues".
Il y a ici un écart entre la vérité et la perception : les chevaux de Troie de cryptage harcèlent l'informatique depuis longtemps. C'est un bon indicateur du fait que ce modèle commercial fonctionne pour les criminels - et continuera malheureusement à le faire pendant longtemps.
Bien sûr, il n'existe pas de protection à 100 % contre ces chevaux de Troie. Bien sûr, il est possible de réduire la probabilité avec des solutions de sécurité au niveau de la passerelle, du réseau et du point final.
Il faut toutefois être conscient qu'il faut tout de même s'attendre à une infestation ! Même l'utilisation de systèmes de détection des brèches, y compris le sandboxing, ne peut qu'influencer la probabilité et fournir (a posteriori) des données médico-légales exploitables.
Mais ce n'est qu'une question de "quand", pas de "si" quelque chose passe. Un cybercriminel peut créer des milliers de variantes avec peu d'efforts et les optimiser jusqu'à ce que les solutions de sécurité actuelles ne les trouvent justement pas.
En partant du principe qu'il peut y avoir une infestation, il faut donc planifier des mesures de sécurité appropriées. De simples bonnes pratiques telles que la segmentation du réseau et les fonctions de sécurité en font partie, tout comme une "sauvegarde et restauration" profane.
Cela signifie que même si quelque chose passe, seuls quelques ordinateurs du segment sont concernés et peuvent être "nettoyés" via une restauration. Dans le cadre de l'exploitation d'environnements informatiques commerciaux, tout cela correspond à des recommandations et à des expériences de longue date en matière d'exploitation.
Il est d'autant plus étonnant de constater qu'ici, ce ne sont pas seulement des domaines isolés (par ex. l'administration) qui ont été touchés, mais des maisons entières "hors ligne", parfois pendant des jours. Pour le dire explicitement : à mon avis, il ne s'agissait pas d'"attaques".
Parler ici d'une attaque détourne l'attention de l'agresseur présumé et l'éloigne des questions d'exploitation - ce qui n'est peut-être pas totalement involontaire...
Mais l'effet pour le grand public est malheureusement une sorte de sentiment de panique qui n'a pas lieu d'être sous cette forme. Il s'agissait tout simplement d'un cheval de Troie normal, comme il en circule des milliers chaque jour.
Au contraire, si d'autres infrastructures critiques sont effectivement victimes de véritables attaques ciblées, l'ensemble sera rejeté comme un nouvel alarmisme avec la réponse "ce n'était pas si grave la dernière fois". Et cela, nous ne pouvons vraiment pas nous le permettre.