[CERT Santé] Plan d’action préventif pour réduire le risque d’une compromission massive en cas d’attaques par rançongiciel

Depuis décembre 2020, plusieurs structures de santé ont subi des attaques par rançongiciel qui ont provoqué, pour certaines d’entre elles, un impact majeur sur la continuité de leurs activités. L’ensemble des systèmes Windows a été compromis et les sauvegardes ont été supprimées, entrainant des pertes de données irréversibles.

Pour la plupart de ces établissements, l’attaquant est entré dans le système d’information (SI) à partir d’un accès VPN, ce qui lui a permis de contourner les mécanismes de protection des postes de travail (antivirus, EDR, proxy, …). Il exploite ensuite une vulnérabilité (ex : faille de sécurité sur les contrôleurs du domaine) pour obtenir un accès administrateur du domaine. Une fois l’accès obtenu, il supprime les sauvegardes et déploie l’outil de chiffrement des machines du parc. Ces actions sont réalisées avec des outils légitimes (disponible sur étagère ou même Microsoft : psexec, bitlocker), ce qui permet de rester sous les radars des outils de sécurité qui assimilent ces actions à de l’administration « courante ».

Le CERT Santé a constaté que de nombreuses structures de santé n’ont pas mis en place les mesures préventives permettant de limiter les conséquences de ce type d’attaque. Il est donc proposé de mettre en oeuvre un plan d’action préventif visant à renforcer la sécurité de 5 points stratégiques du système d’information (SI) d’une structure : système de sauvegarde, système de gestion des environnements, administration des systèmes, l’accès à distance par VPN et le proxy. L’ensemble de ces mesures doit permettre de limiter l’impact d’une attaque par rançongiciel et ralentir la progression de l’attaquant sur le SI.