[Etats-Unis] Le centre de coordination de la cybersécurité pour le secteur de la santé présente les principales menaces

A l’occasion du Healthcare Security Forum, Greg Singleton, directeur du Health Sector Cybersecurity Coordination Center (HC3) au ministère de la santé américain, a décrit comment le HC3 perçevait l’état de la menace et comment le ministère de la santé pouvait prêter main forte au secteur du privé dans la gestion des risques cyber.

Le Health Sector Cybersecurity Coordination Center (HC3) est un centre opérationnel de cybersécurité en charge de soutenir et d'améliorer la cyberdéfense du secteur de la santé en favorisant le partage d'informations entre les acteurs (fabricants, éditeurs, structures de santé). Le HC3 a présenté les principales menaces qu’il continue à surveiller à ce jour :

  • Les tentatives d'exploitation des vulnérabilités concernant certains VPN d'entreprise comme GlobalProtects (Palo Alto Networks), Pulse Connect et Pulse Policy Secrure (Pulse Secure), Fortigate (Fortinet), malgré la publication de correctifs ;
  • Les tentatives d'exploitation des vulnérabilités “Blue” comme Bluekeep (Windows 7 SP1, Server 2008 R2 SP1, Server 2012, 8.1, Server 2012 R2, et toutes les versions de Windows 10), DejaBlue (Windows 7 SP1, Server 2008 R2 SP1, Server 2012, 8.1, Server 2012 R2, et toutes les versions de Windows 10) et EternalBlue (anciennes versions du service de partage de fichier SMB de Windows) qui touchent tous les systèmes Windows. Environ 68 000 ordinateurs n’auraient pas appliqué de correctifs pour Bluekeep aux EtatsUnis et à l’échelle mondiale, on dénombre 1 million de serveurs RDP n'ayant pas encore été patchés. Le HC3 recommande pour ce type de vulnérabilités d’appliquer de toute urgence les correctifs et les mises à jour et si ce n'est pas possible de bloquer les ports RDP, de désactiver RDP et de segmenter le réseau ;
  • Les tentatives d'exploitation de la vulnérabilité Urgent/11 qui peut affecter les systèmes temps réel d'un grand nombre d'appareils comme les IRM, les pare-feu et les imprimantes. Au total, ce sont environ 2 milliards de systèmes d’exploitation en temps réel qui existent dans le monde. Le système d’exploitation le plus utilisé pour ces appareils est VxWorks et 11 vulnérabilités représentant un risque sérieux pour les appareils connectés à ce système ont été identifiées. Le HC3 recommande de mettre en place des correctifs, un système de détection d’exploits et une segmentation du réseau ;
  • Les serveurs d’imagerie PACS et DICOM directement exposés sur Internet : il s'agit d'environ 200 systèmes et appareils hébergeant des millions de dossiers patients et informations sensibles sont actuellement vulnérabaux Etats Unis.

Une meilleure coordination entre les acteurs permet de mieux identifier et traiter des cyberattaques, qui auraient pu passer inaperçues, aussi bien du côté des entreprises que des établissements de santé.