Etats-Unis - La sécurité des messageries électroniques en retard dans le secteur de la santé

Le 16 janvier dernier, l’organisation Verity Health System a signalé une troisième atteinte à la protection des données suite au piratage de la messagerie électronique d'un employé. Pendant plusieurs heures, le pirate a eu la possibilité d'accéder aux e-mails et aux pièces jointes.

En effet, il s’agit de la 3ème attaque de ce type intervenue chez Verity Health System depuis novembre 2018. Il y a deux mois, l’organisation rapportait déjà deux attaques sur des messageries électroniques de collaborateurs compromettant les données de 14 984 patients.  

Au cours de l'incident, l’attaquant a envoyé des e-mails contenant des liens malveillants à un large éventail de comptes internes et externes depuis l’adresse de messagerie compromise. Selon les autorités, le pirate a cherché à obtenir les noms d'utilisateurs et les mots de passe des destinataires des e-mails, par le même mode opératoire que les deux premières attaques.

Les responsables ont confirmé que l’attaquant n'avait pas eu accès à d'autres comptes de messagerie d’employés, au réseau ou aux serveurs. L'accès a été interrompu après quelques heures et l'appareil déconnecté d'Internet. Tous les e-mails non autorisés ont été supprimés et les liens malveillants désactivés.

Selon un rapport publié en février par Mimecast, société proposant des prestations de sécurité et d'amélioration de la résilience pour des services de messagerie hébergés, la sécurisation des messageries électroniques dans le secteur de la santé accuse un retard important par rapport à d'autres secteurs.

En effet, les établissements de santé ne semblent pas plus ciblés que les entités d'autres secteurs,  en revanche, les contrôles de sécurité et la technologie restent vulnérables aux méthodes d'attaque des pirates informatiques, notamment aux attaques de type hameçonnage (phishing).

Par ailleurs, une étude récente de la JAMA, revue médicale internationale Journal of the American Medical Association, a confirmé que des actions de sensibilisation et de formation en matière d'hameçonnage réduisent les risques d'attaques dans le secteur de la santé, compte tenu de la vulnérabilité des employés à ce type de campagnes malveillantes. D'autres responsables de la sécurité ont confirmé que le risque lié à l'utilisation de la messagerie électronique peut être réduit en automatisant l'analyse des messages avant leur réception dans les boites de messagerie des utilisateurs.