[Etats-Unis] Un rapport de Proofpoint dresse l’état de la cybermenace sur le secteur de la santé

Le rapport 2019 de Proofpoint (société de service en sécurité informatique) donne un aperçu des cybermenaces auxquelles sont confrontées les acteurs du secteur de la santé et des attaques les plus courantes qui mènent à des atteintes à la protection des données de santé à caractère personnel. Ce rapport met en lumière l'évolution constante du paysage de la menace et la façon dont les tactiques utilisées par les cybercriminels sont en constante évolution.

L'étude - menée entre le deuxième trimestre 2018 et le premier trimestre 2019 - montre que les logiciels malveillants utilisés dans les attaques changent régulièrement. Le rançongiciel était une forme populaire de logiciel malveillant au deuxième trimestre de 2018 et a été utilisé dans de nombreuses attaques contre les acteurs du secteur de la santé, mais les incidents liés aux rançongiciels ont ensuite diminué rapidement lorsque les cybercriminels se sont tournés vers les chevaux de Troie bancaires. Pour les trois quarts restants de la période d'étude, les chevaux de Troie bancaires ont été la variante de logiciel malveillant de choix, bien que les rançongiciels soient maintenant de nouveau populaires.

La recherche de Proofpoint montre que les chevaux de Troie bancaires ont été la plus grande menace de logiciels malveillants pour les acteurs du secteur de la santé pendant la période de l'étude, représentant 41% des charges utiles malveillantes livrées par e-mail entre le deuxième trimestre 2018 et le premier trimestre 2019. Au premier trimestre 2019, la plus grande menace est venue du cheval de Troie bancaire Emotet, qui représentait 60 % de toutes les charges utiles malveillantes.

Malgré l’augmentation considérable des attaques d'hameçonnage en 2019, les attaques de logiciels malveillants ont été plus nombreuses au cours de la période étudiée. Les logiciels malveillants sont souvent distribués par le biais de pièces jointes à des courriels, mais des URL sont également utilisées pour diffuser les logiciels malveillants. Les URL intégrés peuvent diriger les utilisateurs vers des sites Web d'hameçonnage où des informations d'identification sont volées, mais ils peuvent également envoyer des employés du secteur de la santé vers des sites Web où des logiciels malveillants sont téléchargés à leur insu. 77 % des attaques par courrier électronique pendant la période étudiée ont utilisé des URL malveillantes.

Les courriels malveillants sont plus susceptibles d'être ouverts si l'expéditeur du courriel est connu du destinataire. 95% les acteurs du secteur de la santé ciblés ont reçu des courriels qui usurpaient leur domaine de confiance et 100% des acteurs du secteur de la santé ciblées ont vu leur domaine usurpé lors d'attaques contre leurs patients et leurs partenaires.

En moyenne, les acteurs du secteur de la santé ciblés ont reçu 43 courriels d'imposteurs au premier trimestre de 2019, une augmentation de 300 % par rapport au premier trimestre de 2018. En moyenne, 65 membres du personnel de chaque structure de santé ont été visés lors de ces attaques.

Bien que les sujets des courriels soient très variés, le plus souvent, l'objet du courriel contenait le mot "urgent", "paiement" ou "demande". Ces mots ont été inclus dans 55 % des courriels malveillants. Les courriels malveillants sont le plus souvent envoyés pendant les heures d'ouverture lorsque les employés sont à leur bureau, habituellement entre 7 h et 13 h, du lundi au vendredi.

Proofpoint a analysé les attaques par courriel de plusieurs types d'acteurs du secteur santé et a constaté que certaines personnes sont plus ciblées que d'autres. ll s'agit des médecins, des chercheurs, du personnel administratif et du personnel de soutien à la patientel pour les structures de santé, le personnel administratif et les équipes IT des assurances maladie, ainsi que les cadres, les employés du marketing, de la logistique et de la chaîne d'approvisionnement dans les entreprises pharmaceutiques.

Les boites aux lettres partagées utilisées pour demander des renseignements sur les patients ou sur les portails des patients ont reçu les courriels les plus malveillants. Ces adresses électroniques ont le potentiel d'entraîner de multiples infections par des logiciels malveillants et plusieurs réponses aux courriels d'hameçonnage.

Pour bloquer ces menaces, il est recommandé d’établir une défense à plusieurs niveaux. Des solutions antipourriel et antimalware doivent être mises en œuvre pour protéger le système de messagerie électronique. Des mécanismes de filtrage sont nécessaires pour bloquer les menaces venant du Web, des contrôles anti-malware sont nécessaires sur les terminaux. Les employés doivent recevoir une sensibilisation régulière pour les aider à identifier les menaces et les préparer à prendre les mesures qui s'imposent dès réception de messages suspects.