Blog GlobalSign

03 avr. 2018

Attaques des points de terminaison : un coût élevé et un enjeu vital pour le secteur de la santé et chaque individu

D’après un récent rapport de nos amis de l’Institut Ponemon (rapport commandé par Barkly), les attaques des points de terminaison dans le secteur de la santé sont non seulement très répandues, mais elles coûtent également très cher. En clair, la facture dépasse chaque année 1,3 milliard de dollars pour la santé, et plus de la moitié des organismes déclarent avoir subi une attaque au niveau de leurs points de terminaison. Étudions quelques-uns des principaux points à risques, ainsi que le périmètre et le coût d’une attaque, sachant que pratiquement n’importe quel secteur et n’importe quelle entreprise imaginable peuvent être concernés.

Soyons honnêtes, les points de terminaison actuels n’ont plus rien en commun avec l’informatique d’hier, surtout dans le secteur de la santé. Toute personne et tout objet est un point de terminaison potentiel. Dans la santé, il peut s’agir des collaborateurs, médecins et administrateurs, mais aussi les patients enregistrés sur les portails, des patients porteurs de pacemakers ou d’autres dispositifs médicaux embarqués, ou encore des instruments de diagnostic comme les appareils d’I.R.M.. Tous traitent des informations de santé de façons inédites. La consumérisation de l’informatique et la mobilité contribuent à la généralisation de ce phénomène. Toute la question est de savoir où sont stockées les données. Si aujourd’hui certaines de vos données sont stockées sur un point de terminaison, il serait grand temps de repenser votre stratégie.

FDA – Risque de décès et points de terminaison sans données

Dans son précédent guide, la FDA déclarait reconnaître que « la cybersécurité des dispositifs médicaux relève d’une responsabilité partagée entre les différents acteurs, y compris les établissements de santé, les patients, les fournisseurs et les fabricants de dispositifs médicaux. L’incapacité à maintenir la cybersécurité peut entraîner la compromission de certaines fonctionnalités des dispositifs, la perte de disponibilité ou d’intégrité des données (médicales ou personnelles), l’exposition d’autres appareils ou réseaux connectés à des menaces de sécurité. Tout ceci pouvant par la suite induire des pathologies, des blessures, voire entraîner la mort de certains patients. »

La mort ? Oui, cela devrait retenir votre attention. Rien de tel que la peur de la mort pour faire bouger une entreprise ou une administration, et éventuellement apporter quelques changements à la sécurité. L’environnement de la santé (et la crainte de la MORT ?) évolue(nt) en permanence. Prenez par exemple l’évolution du point de terminaison dans une démarche de sécurité ; l’efficacité supérieure avec laquelle nous déployons les charges de travail et les applications aujourd’hui. Et surtout, la manière dont la virtualisation et l’IoT ont façonné l’environnement des points de terminaison de nouvelle génération.

Wibu-Systems, un éditeur de solutions de protection des logiciels et de gestion des licences, résume les choses ainsi : « en travaillant avec certains des plus gros prestataires de santé du pays, nous avons vu émerger une nouvelle tendance. Les directeurs des systèmes d’information et de la sécurité envisagent désormais la virtualisation des postes de travail et des applications sous un autre angle. On est ainsi passé du déploiement du poste de travail virtuel au déploiement d’une 'charge' virtuelle. Quelle est la différence ? Le poste de travail n’a pas vraiment d’importance. »

Le site HealthITsecurity présente ainsi ce scénario courant. Aujourd’hui, on a un poste de travail sur lequel une infirmière vient s’identifier. Elle utilise une tablette pour accéder directement aux :

  • Applications Web
  • Applications historiques
  • Stockage et données dans le Cloud
  • Postes de travail Windows et
  • Applications Windows

… Le tout, sans avoir à lancer un seul client, puisque des technologies plus récentes (Citrix, VMware, etc.) permettent d’utiliser des solutions HTML5. Des applications entières, voire des postes de travail, sont aujourd’hui déployées via un simple portail Web accessible à l’aide d’un navigateur — des onglets spécifiques ouvrant les ressources nécessaires en fonction des besoins. Les paramètres de sécurité ? Ils sont inclus dans les contrôles et autres paramètres des règles afin de s’assurer qu’aucune donnée n’est stockée sur le point de terminaison. L’avantage : on exerce ainsi un contrôle proactif en cas de perte du point de terminaison, puisque toutes les informations sont sécurisées dans le centre de données.

Cela rejaillit également sur les utilisateurs, les dispositifs et les applications mobiles et distants. N’importe quel appareil peut accéder aux applications, ordinateurs de bureau et autres ressources depuis un portail utilisateur central basé sur le Web. Là encore, même à distance, il n’y a pas à stocker quoi que ce soit au niveau du point de terminaison. L’administrateur qui veille sur la sécurité des données de santé exerce ainsi un contrôle permanent sur les ressources et les données situées dans le centre de données (et non au niveau du point de terminaison). De nombreux établissements de santé ont adopté l’infrastructure à clé publique (PKI) comme méthode sûre, évolutive, flexible et rentable pour authentifier les identités numériques en toute sécurité, assurer l’intégrité des données transmises et chiffrer les communications dans ces charges virtuelles.

Gestion des infrastructures virtuelles de sécurité et de PKI depuis le point de terminaison jusqu’au centre de données

Depuis peu, le secteur de la santé, comme le réseau électrique ou l’infrastructure des services publics, est considéré comme faisant partie de ce que l’on appelle Infrastructure critique (IC). La gestion de l’infrastructure PKI est effectivement devenue un sujet central dans la plupart des entreprises qui font partie de, interagissent avec ou se rapportent à l’Infrastructure critique d’un pays. Plus préoccupants et plus fréquents qu’il y a un an, les rançongiciels et autres cyberattaques ne concernent pas uniquement la santé — d’où les mesures adoptées par les entreprises d’IC pour renforcer leurs mesures de cybersécurité en général, et plus précisément l’adoption de la PKI.

Aux États-Unis, la réactualisation de la Directive sur la politique présidentielle no 21 permet désormais d’identifier 16 secteurs d’activités, qui relèvent des infrastructures critiques où la protection de la cybersécurité des centres de données, et plus particulièrement la sécurité des PKI, revêt une importance capitale. Il s’agit notamment des secteurs suivants :

  • Chimie : tous les produits pétrochimiques, industriels et autres produits chimiques dangereux.
  • Sites commerciaux : nombreux sites commerciaux où se pressent les foules pour faire du shopping, pour affaires, pour se divertir ou se loger.
  • Communication : lenerf de la guerre pour les activités des entreprises, organismes de sécurité publique et administrations publiques.
  • Fabrication d’équipements critiques : métallurgie, machinerie, automobile/transports, moteurs et turbines, équipements de transmission électrique, équipements de terrassement, de forage, pour le bâtiment ainsi que les équipements agricoles et électriques.
  • Barrages hydroélectriques : projets de barrages, écluses, digues, barrières anti-ouragans, bassins de résidus miniers et autres infrastructures de rétention et/ou de régulation de l’eau.
  • Complexe militaro-industriel : recherche, développement, conception, production, mise en œuvre et maintenance des systèmes, sous-systèmes, composants et pièces d’armement militaire pour répondre aux besoins militaires américains.
  • Services d’urgence : large éventail de services de prévention, de préparation, d’intervention et de rétablissement pour le quotidien et dans le cadre d’interventions sur incident.

Les six autres secteurs qui relèvent des Infrastructures critiques devraient vous paraître assez évidents. Vous les retrouverez dans la Directive pour la politique présidentielle no 21. Il s’agit des secteurs suivants :

  • L’énergie
  • Les services financiers
  • L’agroalimentaire
  • La santé et le secteur public
  • Les technologies de l’information,
  • Les réacteurs, matériaux et déchets nucléaires
  • Les systèmes de transport
  • L’eau et l’assainissement des eaux usées

En gros, quel que soit le secteur d’activité, les entreprises relèvent quasiment toutes de l’un de ces 16 secteurs. Qu’est-ce que cela signifie ? Qu’il serait temps de vous occuper de la gestion de votre infrastructure PKI dans vos centres de données. Manifestement en cas d’attaque, les conséquences financières sont lourdes. Mais ce n’est pas tout : des vies sont également en jeu !

Tous les directeurs de la sécurité des systèmes d’information à travers le monde devraient lire ce livre blanc de GlobalSign sur l’importance de la gestion des infrastructures PKI pour toute Infrastructure critique (IC). Envie de discuter en détail de la gestion de la PKI en lien avec votre entreprise ? N’hésitez pas. Nous serons ravis d’échanger avec vous.

Partager ce blog