Le cabinet de conseil PricewaterhouseCoopers a récemment publié les leçons tirées de l’attaque perturbatrice et coûteuse du rançongiciel de mai 2021 contre le système de santé publique irlandais. L’autopsie inhabituellement franche a révélé que près de deux mois se sont écoulés entre l’intrusion initiale et le lancement du ransomware. Il a également constaté que les hôpitaux concernés disposaient de dizaines de milliers de Windows 7 et que les administrateurs informatiques du système de santé n’ont pas répondu aux multiples signes avant-coureurs indiquant qu’une attaque massive était imminente.
Chronologie de PWC des jours précédant le déploiement du rançongiciel Conti le 14 mai.
l’Irlande Directeur des services de santé (HSE), qui gère le système de santé publique du pays, a été touché par Rançongiciel Conti le 14 mai 2021. Une chronologie dans le rapport (ci-dessus) indique que l’infection initiale du poste de travail « patient zéro » s’est produite le 18 mars 2021, lorsqu’un employé sur un ordinateur Windows a ouvert un document Microsoft Excel piégé dans un e-mail de phishing envoyé deux jours plus tôt.
Moins d’une semaine plus tard, l’attaquant avait établi une connexion de porte dérobée fiable avec le poste de travail infecté de l’employé. Après avoir infecté le système, « l’attaquant a continué à opérer dans l’environnement sur une période de huit semaines jusqu’à l’explosion du rançongiciel Conti le 14 mai 2021 », indique le rapport.
Selon Le rapport de PWC (PDF), il y a eu plusieurs avertissements concernant une grave intrusion dans le réseau, mais ces signaux d’alarme ont été mal identifiés ou n’ont pas été traités assez rapidement :
- Le 31 mars 2021, le logiciel antivirus du HSE a détecté l’exécution de deux outils logiciels couramment utilisés par les groupes de rançongiciels — Frappe de cobalt et Mimikatz — sur le poste de travail patient zéro. Mais le logiciel antivirus était configuré en mode surveillance, il n’a donc pas bloqué les commandes malveillantes.
- Le 7 mai, l’attaquant a compromis les serveurs du HSE pour la première fois et, au cours des cinq jours suivants, l’intrus a compromis six hôpitaux du HSE. Le 10 mai, l’un des hôpitaux a détecté une activité malveillante sur son contrôleur de domaine Microsoft Windows, un composant essentiel des « clés du royaume » de tout réseau d’entreprise Windows qui gère l’authentification des utilisateurs et l’accès au réseau.
- Le 10 mai 2021, les auditeurs de sécurité ont identifié pour la première fois des preuves que l’attaquant compromettait les systèmes de l’hôpital C et de l’hôpital L. Le logiciel antivirus de l’hôpital C a détecté Cobalt Strike sur deux systèmes mais n’a pas réussi à mettre en quarantaine les fichiers malveillants.
- Le 13 mai, le fournisseur de sécurité antivirus du HSE a envoyé un e-mail à l’équipe des opérations de sécurité du HSE, soulignant les événements de menace non gérés remontant au 7 mai sur au moins 16 systèmes. L’équipe des opérations de sécurité HSE a demandé à l’équipe du serveur de redémarrer les serveurs.
A ce moment là, il était trop tard. Juste après minuit, heure d’Irlande, le 14 mai, l’attaquant a exécuté le rançongiciel Conti au sein du HSE. L’attaque services interrompus dans plusieurs hôpitaux irlandais et a entraîné la fermeture quasi complète des réseaux nationaux et locaux du HSE, forçant l’annulation de nombreuses cliniques externes et services de santé. Le nombre de rendez-vous dans certaines régions a chuté jusqu’à 80 %. »
Conti a initialement demandé 20 millions de dollars de monnaie virtuelle en échange d’une clé numérique pour déverrouiller les serveurs HSE compromis par le groupe. Mais peut-être en réponse au tollé général suscité par la perturbation du HSE, Conti a inversé le cap et a donné au HSE les clés de déchiffrement sans exiger de paiement.
Pourtant, le travail de restauration des systèmes infectés prendrait des mois. Le HSE a finalement enrôlé des membres de l’armée irlandaise pour apporter des ordinateurs portables et des PC pour aider à restaurer les systèmes informatiques à la main. Ce n’est que le 21 septembre 2021 que le HSE a déclaré que 100 % de ses serveurs étaient décryptés.
Aussi grave que soit l’attaque du rançongiciel HSE, le rapport de PWC souligne qu’elle aurait pu être bien pire. Par exemple, on ne sait pas combien de données auraient été irrécupérables si une clé de déchiffrement n’était pas devenue disponible, car l’infrastructure de sauvegarde du HSE n’était sauvegardée que périodiquement sur bande hors ligne.
L’attaque aurait également pu être pire, selon le rapport :
- si l’attaquant avait eu l’intention de cibler des dispositifs spécifiques dans l’environnement HSE (par exemple, des dispositifs médicaux) ;
- si le rançongiciel a pris des mesures pour détruire des données à grande échelle ;
- si le rançongiciel avait des capacités d’auto-propagation et de persistance, par exemple en utilisant un exploit pour se propager à travers les domaines et les limites de confiance vers les dispositifs médicaux (par exemple, l’exploit EternalBlue utilisé par les attaques WannaCry et NotPetya15) ;
- si les systèmes cloud avaient également été cryptés comme le système de vaccination COVID-19
Le rapport de PWC contient de nombreuses recommandations, dont la plupart portent sur l’embauche de nouveau personnel pour diriger les efforts de sécurité redoublés de l’organisation. Mais il est clair que le HSE a un énorme travail devant lui pour gagner en maturité en matière de sécurité. Par exemple, le rapport note que le réseau hospitalier du HSE comptait plus de 30 000 postes de travail Windows 7 qui ont été considérés comme en fin de vie par le fournisseur.
« Le HSE a évalué sa cote de maturité en matière de cybersécurité comme étant faible », a écrit PWC. « Par exemple, ils n’ont pas de CISO ou de centre d’opérations de sécurité établi. »
PWC estime également que les efforts visant à développer le programme de cybersécurité du HSE au point où il peut rapidement détecter et répondre aux intrusions coûteront probablement « un multiple des dépenses d’investissement et de fonctionnement actuelles du HSE dans ces domaines sur plusieurs années ».
Une idée d’un modèle de « maturité de la sécurité ».
En juin 2021, le directeur général du HSE a déclaré que les coûts de récupération de l’attaque de ransomware de mai étaient susceptibles de dépasser 600 millions de dollars américains.
Ce qui est remarquable dans cet incident, c’est que le HSE est financé publiquement par le gouvernement irlandais, et donc en théorie, il a l’argent à dépenser (ou à lever) pour payer toutes ces recommandations ambitieuses pour augmenter leur maturité en matière de sécurité.
Cela contraste fortement avec le système de santé ici aux États-Unis, où le plus grand obstacle à la bonne sécurité continue de ne pas en faire une véritable priorité budgétaire. En outre, la plupart des organisations de soins de santé aux États-Unis sont des entreprises privées qui fonctionnent avec des marges bénéficiaires extrêmement minces.
Je le sais parce qu’en 2018, on m’a demandé de donner le discours d’ouverture lors d’un rassemblement annuel des Groupe de partage et d’analyse de l’information sur les soins de santé (H-ISAC), un groupe industriel centré sur le partage d’informations sur les menaces de cybersécurité. J’ai failli ne pas accepter l’invitation : j’avais très peu écrit sur la sécurité des soins de santé, qui semblait être dominée par la question de savoir si les organisations de soins de santé respectaient la lettre de la loi aux États-Unis. Cette conformité était centrée sur la Loi sur la transférabilité et la responsabilité de l’assurance maladie (HIPAA), qui accorde la priorité à la protection de l’intégrité et de la confidentialité des données des patients.
Pour me mettre au courant, j’ai interviewé plus d’une douzaine d’esprits parmi les meilleurs et les plus brillants du secteur de la sécurité des soins de santé. Un refrain commun que j’ai entendu des personnes interrogées était que si c’était lié à la sécurité mais n’avait pas à voir avec la conformité, il n’y avait probablement pas beaucoup de chance qu’il obtienne un budget.
Ces sources ont unanimement déclaré que, même si elles étaient bien intentionnées, il n’est pas clair que l’approche réglementaire de « protéger les données » de l’HIPPA fonctionnait dans une perspective de menace globale. Selon Nouvelles de l’informatique de la santéplus de 40 millions de dossiers de patients ont été compromis dans des incidents signalés au gouvernement fédéral en 2021 jusqu’à présent.
Lors de ma conférence de 2018, j’ai essayé de souligner l’importance primordiale de pouvoir réagir rapidement aux intrusions. Voici un extrait de ce que j’ai dit au public H-ISAC :
« Le terme » maturité de la sécurité « fait référence à l’intelligence de la rue d’un individu ou d’une organisation, et cette maturité vient généralement de faire beaucoup d’erreurs, de se faire pirater beaucoup et, espérons-le, d’apprendre de chaque incident, de mesurer les temps de réponse et de s’améliorer.
Permettez-moi de dire d’emblée que toutes les organisations se font pirater. Même ceux qui font tout correctement du point de vue de la sécurité sont probablement piratés tous les jours s’ils sont assez gros. Par piraté, j’entends quelqu’un au sein de l’organisation tombe dans le piège d’une escroquerie par hameçonnage ou clique sur un lien malveillant et télécharge un logiciel malveillant. Parce qu’avouons-le, il suffit d’une erreur pour que les pirates s’implantent dans le réseau.
Maintenant, ce n’est pas mal en soi. Sauf si vous n’avez pas la capacité de le détecter et de réagir rapidement. Et si vous ne pouvez pas faire cela, vous courez le risque sérieux de voir un petit incident métastaser en un problème beaucoup plus important.
Pensez-y comme au concept médical de «l’heure dorée» : cette courte période de temps qui suit directement une blessure traumatique comme un accident vasculaire cérébral ou une crise cardiaque dans laquelle les médicaments et l’attention qui sauvent la vie sont susceptibles d’être les plus efficaces. Le même concept s’applique à la cybersécurité, et c’est exactement pourquoi de nos jours tant d’organisations consacrent davantage de leurs ressources à la réponse aux incidents, au lieu de la simple prévention.
Le système de santé quelque peu décentralisé des États-Unis signifie que de nombreuses épidémies de ransomwares ont tendance à se limiter aux établissements de santé régionaux ou locaux. Mais une attaque ou une série d’attaques de rançongiciels bien placées pourraient infliger de graves dommages au secteur : un Rapport de décembre 2020 de Deloitte affirme que les 10 principaux systèmes de santé contrôlent désormais une part de marché de 24 % et que leurs revenus ont augmenté deux fois plus vite que le reste du marché.
En octobre 2020, BreachTrace a dévoilé l’histoire selon laquelle le FBI et Département américain de la sécurité intérieure avait obtenu des conversations d’un groupe de ransomware de premier plan qui a mis en garde contre une « menace imminente de cybercriminalité pour les hôpitaux et les prestataires de soins de santé américains ». Les membres associés au groupe russophone de ransomware connu sous le nom de Ryuk avaient discuté de plans de déploiement de ransomware dans plus de 400 établissements de santé aux États-Unis.
Quelques heures après la diffusion de cet article, j’ai entendu un professionnel de la sécurité H-ISAC respecté qui s’est demandé s’il valait la peine d’énerver autant le public. L’histoire a été mise à jour plusieurs fois au cours de la journée et au moins cinq organisations de santé ont été touchées par un ransomware en l’espace de 24 heures.
« Je suppose que cela aiderait si je comprenais ce qu’est la ligne de base, comme combien d’organisations de soins de santé sont touchées par un ransomware en moyenne en une semaine ? » J’ai demandé à la source.
« C’est plutôt un par jour », a confié la source.
Selon toute vraisemblance, le HSE obtiendra l’argent dont il a besoin pour mettre en œuvre les programmes recommandés par PWC, quel que soit le temps que cela prendra. Je me demande combien d’organisations de soins de santé basées aux États-Unis pourraient en dire autant.