[International] Une étude privée dresse la liste des principaux comportements malveillants au sein des structures de santé

Une société proposant des services de détection et de réponse à des incidents de sécurité (Vectra) a publié une étude d'impact sur les principaux comportements malveillants qu’elle a pu observer auprès de ses clients dans le domaine de la santé, entre juillet et décembre 2018. Ces informations ont pu être rassemblées à l’aide de leur service de gestion de l’information des événements de sécurité (security event information management, ou SIEM).

Nous souhaitons rappeler à ce titre que les observations de cette étude sont issues uniquement des sociétés clientes du secteur de la santé durant cette période et ne sont donc pas nécessairement représentatives des incidents constatés auprès d’organisations françaises.

Le rapport recense ainsi chaque type de comportement malveillant sur un échantillon de 10 000 comportements observés au sein d'un système d’information qui ont fait face à des incidents de sécurité.

De manière introductive, le rapport rappelle tout d’abord que l’essentiel des comportements observés était constitué de négligences internes de l’organisation (62 %), une conclusion déjà observée dans deux autres études publiées en 2018.

Bien que ces comportements ne soient pas toujours liés à une cyberattaque, ils constituent de bons indicateurs du risque et de l'exposition des établissements à des vulnérabilités potentielles dans le domaine de la santé :

  • Il est observé, qu'en moyenne, un incident critique est observé pour 100 incidents qualifiés de faibles ;
  • Les attaques par réseaux de robots informatiques (botnet) sont très peu observées et sont le plus souvent associées à l'hypothèse de la compromission d'un poste de travail (authentification et l’identification via l’Active Directory);
  • Sur 10 000 comportements détectés, 400 seulement ont ainsi été qualifiés de malveillants, incluant une centaine de cas pour les attaques latérales (escalade au sein du réseau dans le but de gagner des droits et privilèges), 131 pour des reconnaissances internes (consistant à déterminer sur site les vulnérabilités propres au système d’information (SI), 118 pour de l’usage de serveurs de commandes et de contrôle sur un réseau botnet.

Pour en apprendre davantage sur les chiffres diffusés dans le rapport, celui-ci est téléchargeable gratuitement (en langue anglaise), en communiquant un nom et une adresse email valide.