Rapport Vectra : l’adoption rapide des services Cloud par les organismes de santé pendant la pandémie Covid-19 a ouvert une surface d’attaque importante

Paris, le 30 juin 2020 - Vectra, leader de la détection et de la réponse aux menaces réseaux (Network Detection and Response) publie son dernier rapport Spotlight qui s’intéresse plus particulièrement au domaine de la santé (observations et données recueillies de janvier à mai 2020 auprès d’un échantillon de 363 grandes entreprises participantes issues de neuf secteurs d’activité, dont la santé - notamment, de grands hôpitaux européens).

L’adoption rapide de services Cloud dans la santé a créé une surface d’attaque importante

Pendant la pandémie Covid-19 et la mise en place du télétravail à grande échelle, l’adoption mondiale de services Cloud a été rapide dans tous les secteurs. Cependant, la santé est celui qui a opéré le changement de cap le plus soudain et le plus rapide afin de gérer la surcharge de l’infrastructure et la hausse des besoins en collaboration, avec des ressources informatiques et de sécurité limitées.

« Les prestataires de santé ont dû rapidement se tourner vers l’accès à distance et l’analyse Cloud pour renforcer leurs capacités opérationnelles », indique Chris Morales, responsable des analyses de sécurité chez Vectra. « Si le Cloud computing permet aux établissements de santé d’optimiser l’utilisation des ressources, il crée en revanche des risques importants. Ceci est particulièrement vrai lorsque l’adoption du Cloud est trop rapide pour que le personnel chargé de la sécurité des informations ait le temps de s’y préparer correctement. Et cette tendance persistera bien après la pandémie. »

Les comportements anormaux détectés sont le fait de cette migration, et non de cybercriminels

Le rapport Vectra a dressé une liste des principaux comportements réseau anormaux détectés : monétisation de botnet, commande et contrôle, reconnaissance interne, mouvement latéral et exfiltration des données. Ceux-ci s’apparente à des menaces mais un examen plus approfondi a toutefois révélé que ces comportements étaient le fait d’activités de migration vers le Cloud et non de cybercriminels. Le point sur les principaux enseignements du rapport : ‍‍

• ‍Une augmentation de 38 % des comportements de commande et de contrôle de janvier à mai 2020, qui correspond à l’accès à distance des télétravailleurs aux systèmes internes.‍
• La multiplication par deux des comportements d’exfiltration de données, c’est-à-dire des transferts d’informations depuis les réseaux internes des établissements de santé vers des destinations externes telles que des services Cloud.

Les activités de mouvement latéral dans le secteur de la santé sont en baisse en 2020.

• La région EMEA (Europe, Moyen-Orient et Afrique) et l’Amérique du Nord ont enregistré une hausse des transferts de données externes, connus sous le nom d’exfiltration. Ce phénomène coïncide avec la migration vers le Cloud.
• Les comportements de type « smash-and-grab » ont beaucoup progressé. Ils surviennent par exemple lorsqu’un appareil médical envoie instantanément d’importants volumes de données vers un site hébergé dans le Cloud.
• Les activités de « data smuggling » ont considérablement augmenté. Elles peuvent correspondre au transfert des dossiers médicaux des patients vers des services de stockage dans le Cloud.

« Cette année, nous avons observé une croissance nette et soudaine des transferts de données en dehors des limites traditionnelles de notre entreprise », témoigne David Willis, responsable cybergouvernance/cybersécurité au Greater Manchester Health and Social Care Partnership, National Health Service, au Royaume-Uni. « Cette croissance tient très probablement au fait que le NHS est passé de datacenters cloisonnés situés derrière un pare-feu à une collaboration basée sur le Cloud en raison de la pandémie de Covid 19. »

La question urgente du lieu de stockage et de la protection des données médicales

A la lecture du Rapport Vectra, il apparait urgent pour les équipes de sécurité de s’attaquer à la question du lieu de stockage et de la protection de leurs données médicales. Il convient pour cela d’instaurer une collaboration panorganisationnelle entre les équipes informatiques et de sécurité. Une visibilité sur le Cloud et l’infrastructure locale est en outre requise pour profiter de fonctions réellement complètes de détection et de réponse aux menaces.

Mode d’analyse du Rapport Spotlight de Vectra : De janvier à mai 2020, la plate-forme de détection et de réponse aux menaces réseau (NDR) Vectra Cognito® a permis de détecter et de corréler des comportements s’apparentant à ceux de cybercriminels au sein des appareils hôtes, d’attribuer des scores de gravité aux menaces et de prioriser ces dernières en fonction de leurs risques pour les établissements de santé. Cette analyse fournit le contexte nécessaire pour mieux identifier les données transférées vers le Cloud, ainsi que pour comprendre comment elles sont utilisées et partagées.