30/12/19

Cybersécurité : un hôpital admis aux urgences …

Pas un jour ne passe sans que les données d’une entreprise ne soient la cible d’attaques informatiques. Ces victimes vont des petites entreprises aux grandes structures, parfois essentielles au fonctionnement de la société.

Ainsi, les dernières cyberattaques qui ont défrayé la chronique sont celles menées contre l’hôpital (CHU) de Rouen en France, ce 15 novembre 2019 ou encore à l’encontre de la mise à jour de Windows 10, plus récemment.

L’attaque informatique contre les données de l’hôpital de Rouen

Faits

Le vendredi 15 novembre 2019 fin de journée, le Centre hospitalier universitaire (CHU) de Rouen a vu son réseau informatique complètement paralysé. Face à l’attaque informatique, les équipes techniques n’ont, en effet, pas eu d’autre choix que de procéder à « l’arrêt de l’ensemble du système informatique » afin de limiter au maximum la propagation du « virus ».

Modus operandi

Le logiciel malveillant à l’origine de la paralysie du réseau est un « ransomware » (ou « rançongiciel »). La méthode est relativement simple… mais terriblement efficace : encrypter les données des utilisateurs dans l’idée de leur restituer leurs données ultérieurement en échange d’une rançon.

Ainsi, l’on peut distinguer deux phases principales :

1. La pénétration du système et le cryptage des fichiers

Les « hackers » doivent d’abord accéder au système informatique pour y disséminer le logiciel malveillant. Le plus souvent, cet accès se fait par :

du « Phishing » : il s’agit d’une méthode très répandue. La personne reçoit un mail, d’apparence authentique et fiable. Ce mail contient une pièce jointe ou un lien vers une page web infectée. Si la personne ouvre la pièce jointe ou le lien, elle peut ainsi télécharger le logiciel malveillant sans s’en rendre compte ;

une Page web infectée: la simple consultation d’une page web infectée, précédée ou non de « phishing » peut entrainer le téléchargement automatique du logiciel malveillant.

Dans les faits, tous les fichiers contaminés (Word, Excel, .doc, …) de l’hôpital (CHU)de Rouen sont verrouillés par les pirates informatiques. Plus précisément, ils sont cryptés sous le suffixe .clop et lorsqu’ils sont sélectionnés, le message texte suivant apparait :

« Tous les fichiers de chaque serveur du réseau ont été encryptés à l’aide d’un algorithme puissant  ;

Tout le réseau est bloqué, ne débloquer qu’un seul ordinateur est impossible »

Par la suite, des instructions sont données pour ne pas corrompre les fichiers cryptés et deux adresses mails de contact sont fournies (dont l’hébergement se situe en Russie – .su pour « Soviet Union »).

2. La demande de rançon

Une fois les fichiers cryptés, les « hackers » tentent de soutirer de la victime de l’argent, et le plus souvent de la monnaie virtuelle (Bitcoin par exemple). Ils lui promettent ainsi qu’une fois le paiement effectué, les fichiers seront décryptés et disponibles à nouveau…

D’un point de vue légal, l’on se retrouve dès lors face à de l’extorsion ou, à tout le moins, une tentative d’extorsion de données auprès d’un utilisateur.

En l’espèce, les instructions sont claires : l’hôpital (CHU) de Rouen est tenu de payer une rançon de « 40 Bitcoins », ce qui revient, au taux du marché lors des faits, à environ 300 000 euros.

Le dilemme est donc le suivant : payer et ne pas être sûr de retrouver ses données. Ou ne pas payer et ne pas être sûr, non plus, de retrouver ses données…

Les autorités nationales recommandent toutefois de ne pas payer

Un cas loin d’être isolé…

Cet événement n’est malheureusement pas inédit : les établissements de santé représentent, de plus en plus, des cibles privilégiées…

Or, les données traitées au sein de ces institutions sont des données médicales, c’est-à-dire des données sensibles. D’autant plus que les établissements de soins de santé sont considérés comme étant des « opérateurs de services essentiels » au sens de la loi du 7 avril 2019.

Il convient donc de prêter encore plus attention aux mesures de sécurité des traitements de données.

Il en va de même pour toutes les autres infrastructures dites « essentielles ». Pour savoir si vous êtes concernés par ce régime spécifique, n’hésitez pas à consulter notre News à ce sujet.

Mieux vaut prévenir que guérir

Avant l’attaque

Le travail de sécurisation des systèmes informatiques en amont est tout aussi essentiel.

Pour vous aider à assurer la sécurité informatique de vos installations, voici quelques éléments à prendre en considération :

Assurer la sécurité du réseau

Un réseau peut être la cible d’attaques tant internes qu’externes.

Face à l’extérieur, il est ainsi important d’adopter un logiciel antivirus adéquat et de s’assurer du bon fonctionnement du « pare-feu ». Ce-dernier permet, en effet, d’appliquer une politique d’accès aux ressources réseau (les serveurs).

D’un point de vue interne, la sensibilisation et la gestion des droits d’accès au réseau est primordiale.

Monitoring et sauvegardes

L’implémentation d’une stratégie de monitoring (surveillance) pertinente et constante vous permet de garder un œil sur ce qu’il se passe sur votre réseau.

A cet effet, l’analyse des fichiers « logs » peut s’avérer utile pour repérer une éventuelle activité suspecte, indicative d’une potentielle attaque informatique.

Toujours dans l’idée d’un contrôle continu de son réseau, la sauvegarde des données est essentielle. Cela vous permet, en effet, de conserver les données en cas de « ransomware » et ainsi de ne pas payer la rançon.

La pratique en matière de sauvegarde de données s’illustre par la règle « 3-2-1 ». Sur base de ce principe, 3 copies des données doivent être réalisées, sur 2 supports différents dont au moins 1 hors site.

Processus de gestion des incidents

Une réponse adéquate face à une attaque informatique peut vous faire gagner un temps précieux et surtout, vous éviter de perdre trop de données.

Ainsi, il est recommandé d’établir des procédures internes, que l’on peut assimiler à des plans d’urgence, à activer en cas d’attaque.

Il est plus qu’utile d’organiser des « entraînements » sous forme de mise en situation face à une situation fictive. L’on pense par exemple, à un exercice de simulation d’attaque une fois par an.

De la sorte, le personnel travaillant au sein de votre entreprise saura directement quoi faire en temps voulu.

Le facteur humain

Le facteur humain (ou facteur H) n’est pas à négliger, au contraire…  la principale faiblesse de la sécurité d’un système informatique est justement l’erreur humaine.

Il est donc primordial de s’assurer que tous les acteurs impliqués dans l’activité de l’entreprise soient correctement impliqués dans la sécurisation des données et des infrastructures.

Il y va de l’intégrité du système… mais également des obligations légales en la matière.

En effet, que vous soyez un prestataire IT ou une entreprise contractant avec un tel prestataire, un contrat doit être conclu. Celui-ci doit pouvoir couvrir tous les aspects de sécurité informatique, et respecter, depuis le 25 mai 2018, le Règlement général sur la protection des données.

Les conseils d’un spécialiste sont dès lors nécessaires.

Enfin, le personnel doit être impliqué dans le processus de sécurisation du système informatique. Pour ce faire, des politiques internes de sensibilisation à la sécurité de l’information sont indispensables.

Il peut ainsi s’agir de mesures d’informations quant à la sécurité des mots de passe, à l’accès aux informations, à l’utilisation des supports USB, ou encore au « homeworking ».

Actualisation et mises à jour

Enfin, les mises à jour des logiciels sont fondamentales. À défaut, la surface d’exposition de vos systèmes aux logiciels malveillants et autres types d’attaques informatiques n’en est qu’augmentée.

Après l’attaque

D’un point de vue pénal, cette attaque implique différentes infractions.

Pour plus de précisions, nous renvoyons à la News déjà publiée à ce sujet.

L’on peut retenir que l’utilisation d’un ransomware, en droit belge, se caractérise par :

  • Une infraction d’extorsion, ou à tout le moins une tentative d’extorsion, avec circonstances aggravantes d’effraction par utilisation d’une fausse clé (article 470 du code pénal). La pratique du « phishing » est également visée ici en ce sens que l’auteur va tromper le destinataire du faux email pour lui soutirer des renseignements personnels ;
  • Une fraude informatique (article 504quater du code pénal). Par l’introduction, la modification ou l’effacement de données, l’auteur cherche à obtenir un avantage économique illégal ;
  • hacking externe, avec plusieurs circonstances aggravantes dont un dommage  causé aux données ou au système informatique (article 550bis §§1, 3 et 5 du Code pénal) ;
  • le sabotage informatique, avec plusieurs circonstances aggravantes dont le fait d’empêcher le fonctionnement correct d’un système informatique (article 550ter du Code pénal).

En ce qui concerne les auteurs, les peines apportées semblent également être de nature à dissuader : 10 ans de réclusion.

Notre conseil :

Les attaques de type « ransomware », mais aussi les autres types d’attaques informatiques, font tous les jours la une de l’actualité…

Les entreprises doivent sans cesse y faire face. Celles qui en pâtissent le plus sont inévitablement les petites et moyennes entreprises. Elles sont, en effet, des cibles privilégiées pour les « hackeurs ».

Il est donc nécessaire d’agir, tant en amont qu’en aval de l’attaque :

En amont

Il est important de bien définir sa politique en matière de sécurité informatique. Cela va de la sensibilisation de tous les acteurs aux mesures concrètes et techniques à prendre.

En ce qui concerne plus précisément la sécurité des traitements de données à caractère personnel, la loi impose en outre bon nombre d’obligations.

Les conseils de spécialistes en matière de protection des données sont indispensables pour se conformer aux obligations légales en la matière.

En aval 

Si la prévention n’a pas été suffisante, il est temps de réagir !

Les comportements des « hackeurs » constituant des infractions pénales, le recours à la procédure et au droit pénal sont à privilégier.

À nouveau, et vu le caractère très souvent international de ces attaques, il est recommandé de prendre contact avec des spécialistes

article rédigé par Joachim Parmentier

dotted_texture