75 % des prestataires de santé utilisent des équipements au système d’exploitation obsolète, en France, seuls 10 % d'entre eux assurent que leurs équipements utilisent les dernières versions logicielles
Selon le dernier rapport de Kaspersky sur le secteur de la santé, seulement 20 % des prestataires de santé européens – et 10 % des Français – assurent que leurs équipements utilisent les dernières versions logicielles. Pire encore : en France, 50 % des sondés ont conscience d’utiliser des systèmes obsolètes et 40 % ne savent pas si leur système d’exploitation est à jour ou non. Une situation qui constitue une vulnérabilité supplémentaire vis-à-vis des risques cyber.
En médecine, l’innovation a toujours joué un rôle essentiel et littéralement vital. La récente pandémie a toutefois obligé le secteur à accélérer le déploiement de nouveautés : selon une récente enquête d’Accenture, 81 % des dirigeants dans le secteur de la santé ont en effet constaté cette numérisation à marche forcée. Ce virage massif s’accompagne-t-il d’une montée en puissance de la sécurité ? Pour le savoir, Kaspersky a interrogé des organisations médicales dans le monde entier.
Il en ressort que les logiciels obsolètes sont très répandus dans ces organisations. Les principales raisons invoquées sont, entre autres, le coût élevé des mises à jour, les problèmes de compatibilité ou l’absence de savoir interne en la matière. En France, le problème vient avant tout du manque d’expertise et de connaissances informatique des acteurs des organisations médicales.
L’utilisation d‘outils dépassés est une source potentielle d’incidents cyber. Lorsqu’un développeur arrête le support pour un produit, il arrête de publier des mises à jour, avec entre autres des améliorations ou des correctifs de sécurité pour des vulnérabilités récemment découvertes. En l’absence de correctif, ces failles peuvent rapidement devenir une première voie d’accès à l’infrastructure de l’organisation, et ce même sans grandes compétences d’attaque. Les organisations médicales, qui collectent de nombreuses données à la fois sensibles et précieuses, comptent parmi les cibles les plus lucratives. Or un appareil non mis à jour facilite les intrusions criminelles.
Quel est niveau de préparation du secteur médical en termes de cybersécurité ? Seulement 28 % des salariés ont confiance dans la capacité de leur organisation à repousser toute attaque ou intrusion dans son infrastructure. Plus étonnant, alors que les salariés français sont les premiers à déclarer manquer de compétences informatiques, 40 % d’entre eux estiment que leur organisation est bien armée face aux attaques. Cette confiance est paradoxale dans la mesure où ils ne sont que 20 % à penser que leur organisation dispose d’une bonne sécurité informatique avec du matériel et des logiciels appropriés et à jour (contre 27 % en Europe).
En parallèle, plus d’un tiers (34 %) des Européens et 20 % des Français admettent que leur organisation a déjà été la cible d’une attaque de ransomware.
Pour Sergey Martsynkyan, VP, Corporate Product Marketing, Kaspersky : « Le monde de la santé est en train de se tourner activement vers les dispositifs connectés. S’ils facilitent l’accès à l’assistance médicale, ils posent toutefois des questions de cybersécurité inédites, propres aux systèmes embarqués. Notre rapport confirme que de nombreuses organisations médicales utilisent encore des systèmes d’exploitation obsolètes, dont la mise à niveau pose problème. Une stratégie de modernisation s’impose mais, en attendant, diverses solutions et mesures peuvent contribuer à réduire les risques. En étant associé avec une sensibilisation du personnel médical, ces mesures améliorent notablement le niveau de sécurité et ouvrent la porte à l’évolution future du secteur de la santé. »
Afin de minimiser la probabilité d’incidents dus à des systèmes obsolètes et vulnérables, Kaspersky conseille aux organisations médicales de prendre les mesures suivantes :
- Inculquer à votre personnel des principes de base en matière de cybersécurité, car beaucoup d’attaques ciblées sont exécutées à partir de courriels de phishing ou par des techniques d’ingénierie sociale ;
- Conduire un audit de cybersécurité sur votre réseau et résorber toute faille détectée à l’intérieur ou dans le périmètre du réseau ;
- Installer des solutions anti-APT et EDR, qui offrent des capacités de détection et de découverte des menaces, d’investigation et de traitement des incidents. Fournir aux SOC l’accès aux toutes dernières données en matière de menaces et leur dispenser des formations régulières pour les aider à actualiser leurs compétences. Toutes ces mesures sont intégrées dans la solution Kaspersky Expert Security ;
- En plus d’une protection efficace des terminaux, certains produits ciblés peuvent aider à se défendre contre les attaques de grande ampleur. La solution Managed Detection and Response permet d’anticiper et de bloquer les attaques avant que les acteurs malveillants n’arrivent à leurs fins ;
- Renforcer les systèmes embarqués dans des dispositifs médicaux rarement mis à jour. La solution Kaspersky Embedded System Security offre une efficacité opérationnelle même sur les logiciels anciens et les systèmes hérités ou peu performants, sans surcharger le système. Dans sa dernière mise à jour, elle offre des fonctionnalités de gestion dans le cloud, et permet donc de piloter les dispositifs embarqués depuis la même console d’administration que les autres terminaux.
A propos de Kaspersky
Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde.
Source : Kaspersky
Et vous ?
Que pensez-vous de ce rapport ? le trouvez-vous pertinent ?
A votre avis, pourquoi autant d'organisations médicales utilisent toujours des systèmes obsolètes ?
Voir aussi :
Les cyberattaques ont augmenté de 50 % en 2021 et atteint un pic en décembre, à cause de la faille qui a impacté la bibliothèque logicielle Log4J, d'après une analyse Check Point Research
Microsoft confirme l'acquisition de la société d'IA, Nuance Communications, pour près de 20 milliards $, soit la plus importante acquisition après LinkedIn
52 % des applications du secteur de la santé présentent au moins une vulnérabilité sérieuse - classée "élevée" ou "critique" sur l'échelle CVSS - ouverte tout au long de l'année, selon NTT
Plus de 102 millions de dossiers médicaux exposés suite à des cyberattaques en 2020, d'après Tenable, les ransomwares sont à l'origine de la majorité des compromissions dans le domaine de la santé
Partager