Les cybercriminels peuvent cibler à la fois le secteur privé et le secteur public lorsqu'ils exploitent les vulnérabilités liées au bien-être, y compris les soins de santé. Ce terme générique englobe les produits pharmaceutiques, la recherche et de nombreux autres aspects des soins médicaux ; en effet, les produits pharmaceutiques sont un élément essentiel des soins de santé, mais ils ne représentent qu'une pièce du puzzle.

Dans le secteur privé, les cybercriminels peuvent cibler les entreprises qui proposent des produits ou des services liés à la santé, comme les sociétés pharmaceutiques ou les compagnies d'assurance maladie. Ils peuvent chercher à voler des informations confidentielles sur les patients, des secrets commerciaux ou des données financières. Ils peuvent également lancer des attaques qui perturbent les activités de l'entreprise, causant ainsi un préjudice aux patients ou aux clients.

Dans le secteur public, les cybercriminels ciblent les organismes gouvernementaux responsables de la santé et de la sécurité publiques, tels que les hôpitaux, les services de santé publique ou les systèmes d'intervention d'urgence. Ils peuvent chercher à perturber les services, à voler des informations sensibles ou à diffuser des informations erronées pour semer la panique et nuire au public. En 2020, l'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a fait état d'une augmentation des cyberattaques visant les agences fédérales, notamment une attaque très médiatisée contre la chaîne d'approvisionnement du logiciel SolarWinds qui a touché plusieurs agences gouvernementales.

Cela signifie que les stratégies basées sur le risque et les meilleures pratiques sont plus importantes que jamais. Une atteinte à la cybersécurité ou une cybercriminalité peut causer des dommages à toute entreprise, compromettre des actifs, mettre à nu des données sensibles, et peut même aller jusqu'à entraîner des pertes de vies humaines en endommageant potentiellement des systèmes de sauvetage.

En effet, une cybercriminalité peut causer de graves dommages, voire la mort, à des organismes vivants ou à des infrastructures essentielles qui soutiennent la vie. Les systèmes respiratoires, cardiovasculaires et nerveux du corps humain sont des exemples de systèmes vitaux susceptibles d'être menacés. Les conséquences de tels événements peuvent être graves, entraînant potentiellement des pertes en vies humaines, des destructions massives et des impacts économiques et sociaux durables. Il est donc important de réagir de manière appropriée afin de prévenir ou d'atténuer les effets de ces événements dans la mesure du possible.
Une violation ou une cybercriminalité nécessite également du temps, des ressources et des efforts pour contenir, éradiquer et atténuer les dommages. Les secteurs de la santé et de l'industrie pharmaceutique sont l'un des domaines où les attaques se multiplient.

De nombreux secteurs, tels que la construction et les entreprises maritimes, sont exposés à un risque accru de cyberattaques et de cybercriminalité ; ils constituent des cibles de choix pour les cybercriminels. L'industrie des soins de santé et des produits pharmaceutiques est l'une des industries les plus attaquées, car elle assure fondamentalement notre bien-être. Elle est confrontée à un défi sans précédent, car les cybercriminels continuent de la prendre pour cible, mettant en péril les données sensibles des patients et la recherche.

En 2022 et 2023, plusieurs prestataires de soins de santé, dont Sharp HealthCare, Choice Health Insurance, Shields Health Care Group et Alameda Health System, ont subi des violations de données, les informations personnelles des patients, telles que les numéros de sécurité sociale, les données d'assurance maladie et les dossiers médicaux, ayant été compromises. En outre, les sociétés de la Croix-Rouge et du Croissant-Rouge du monde entier ont également été victimes d'une cyberattaque complexe qui a entraîné la saisie de données appartenant à plus de 515 000 personnes vulnérables.

Selon Cybersecurity Ventures, les dommages causés par la cybercriminalité devraient atteindre $10 trillions d'ici 2025, ce qui en fait l'une des plus grandes menaces pour les entreprises mondiales. 7 Le Global Risks Report 2023 du Forum économique mondial souligne également que les cyberattaques représentent un risque important pour l'économie mondiale, les entreprises du secteur de la santé et de l'industrie pharmaceutique étant les plus vulnérables.
L'une des principales préoccupations de ce secteur est le risque lié à la chaîne d'approvisionnement ; les cyberattaques contre des vendeurs et des fournisseurs tiers peuvent potentiellement compromettre l'ensemble de la chaîne. Selon un rapport de TechTarget Pharma News Intelligence, le risque de cybersécurité pour la chaîne d'approvisionnement pharmaceutique est estimé à plus de $31 millions par an. Il s'agit d'une préoccupation importante pour l'industrie, car les interruptions de la chaîne d'approvisionnement pourraient avoir de graves conséquences pour les patients qui dépendent de médicaments vitaux.

Les violations historiques montrent que l'industrie des soins de santé et des produits pharmaceutiques a toujours été exposée au risque de cyberattaques, car de nombreux cybercriminels cherchent à voler leurs données sensibles et confidentielles. Il peut s'agir, entre autres, d'ordonnances, de recherches et d'informations sensibles sur les patients. En raison de la valeur de ces données, ces entreprises sont devenues une cible de choix pour les cybercriminels.

L'une des méthodes d'attaque est l'hameçonnage, qui consiste à envoyer des courriels malveillants contenant un lien et un message pour inciter les victimes à cliquer dessus, ce qui constitue le précurseur d'une attaque par ransomware. C'est ce qui est arrivé au OakBend Medical Center, basé au Texas, qui a subi une attaque par ransomware en septembre 2022, obligeant le service informatique de l'hôpital à mettre tous les systèmes hors ligne et à les placer en mode verrouillage. Plus récemment, plus de 94 000 patients de la Florida Medical Clinic ont été informés qu'une attaque par ransomware déployée contre le réseau du prestataire le 9 janvier 2023 avait permis à l'attaquant d'accéder à des fichiers spécifiques contenant leurs informations de santé.

Comme dans la plupart des secteurs, le risque de telles attaques est énorme pour l'industrie des soins de santé et des produits pharmaceutiques. Les attaques par ransomware visent à extorquer une rançon aux victimes à l'aide d'un logiciel malveillant. Si la rançon n'est pas payée, les cybercriminels peuvent menacer de diffuser les données sur l'internet et passent souvent à l'acte. L'attaque peut causer des problèmes considérables aux entreprises, tels que des pannes d'ordinateur, des pertes financières et des atteintes à la réputation, comme l'a montré la cyberattaque par courriel de phishing qui a paralysé le Health Service Executive (HSE) irlandais en 2021.

En 2022, une cyberattaque contre un important fournisseur informatique du Service national de santé britannique (NHS) a également été confirmée comme étant une attaque par ransomware.

Les hôpitaux ont connu des variantes de ce type d'attaque. Les systèmes de santé devraient revoir leurs cyberdéfenses concernant les pages web en réponse aux menaces du groupe hacktiviste pro-russe connu sous le nom de Killnet, qui utilise des attaques par déni de service (DDoS) pour supprimer les pages web orientées vers l'avant et violer les informations de santé protégées (PHI). 15 Les attaques DDoS posent deux problèmes majeurs aux prestataires de soins de santé.

Tout d'abord, supposons qu'une attaque DDoS mette hors service la page web de l'hôpital orientée vers l'avant, ce qui pourrait affecter la prise de rendez-vous, les ordonnances et d'autres services auxquels les patients ont accès via le portail web. Dans ce cas, les hôpitaux doivent se préparer à effectuer ces tâches administratives d'une autre manière.
Deuxièmement, un groupe de ransomware mènera une attaque DDoS contre une cible et, pendant que l'équipe de cybersécurité s'occupera de l'attaque, le groupe déploiera le ransomware. L'équipe de cybersécurité se concentre sur le nettoyage des attaques DDoS et ne se rend pas compte qu'il se passe quelque chose d'autre. Le véritable problème se pose lorsque les données des patients sont cryptées ou volées et divulguées.

La fuite de données volées s'est déjà produite par le passé. À la suite de la cyberattaque contre l'Agence européenne des médicaments (EMA), une agence décentralisée liée à l'Union européenne chargée d'examiner et d'approuver les vaccins avant leur distribution, de contrôler et d'évaluer ces médicaments, des cybercriminels ont divulgué des données sur la vaccination contre le Covid-19 provenant de Pfizer et de BioNTech.
Il est impératif que les fournisseurs de produits pharmaceutiques et de soins de santé soient conscients des menaces qui pèsent sur le secteur et qu'ils disposent d'un plan et de la technologie adéquate pour les identifier et les atténuer.
L'automatisation, les vendeurs tiers, les fournisseurs, les groupes de soins de santé et les nouveaux outils technologiques dominent l'industrie des soins de santé et des produits pharmaceutiques. Ils sont bénéfiques, car ils sont nécessaires pour maintenir les chaînes d'approvisionnement vitales et soutenir la recherche, les soins et le développement. Cependant, si un fournisseur tiers est victime d'une intrusion, cela peut nuire à tous ses partenaires. Qui plus est, l'accès et la sécurité des tiers dans le secteur des soins de santé sont fortement menacés. La preuve en a été faite en juillet 2022, lorsque Infinity Rehab a notifié au ministère américain de la santé et des services sociaux (HHS) que 183 254 patients s'étaient fait voler leurs données personnelles. Au même moment, Avamere Health Services a informé le HHS que 197 730 patients avaient subi le même sort. Puis, le 16 août, la société MultiCare de Washington a révélé que 18 165 autres patients avaient été touchés par la même violation.
En outre, l'introduction de l'internet des objets (IdO) dans le secteur des soins de santé et de l'industrie pharmaceutique le rend vulnérable aux cyberattaques et à la cybercriminalité. Ils utilisent l'IdO pour rationaliser et analyser les données critiques des patients, tandis que les procédures à multiples facettes deviennent plus efficaces. Alors que les dispositifs IoT sont fermement associés à l'industrie, ils augmentent les vecteurs de cyberattaques en raison des vulnérabilités.
De nombreuses entreprises associées au secteur ou en faisant partie ont fusionné ou ont été rachetées par des sociétés géantes. Cela peut nuire à la cybersécurité car les filiales ont tendance à ne pas investir fréquemment dans leur sécurité ; ainsi, les sociétés mères bien protégées peuvent voir leur sécurité compromise. Par conséquent, les entreprises devraient donner la priorité à la cybersécurité et à la prévention de la cybercriminalité avant de prendre les mesures d'acquisition nécessaires.
Lorsque les organisations adoptent une approche axée sur la prévention dans leurs décisions commerciales globales, elles sont mieux placées pour gérer et surveiller les cyberrisques de manière proactive, plutôt que de réagir et de se remettre d'une attaque ou d'un acte cybercriminel.
Une protection préventive et active peut répondre à ces défis de cybersécurité et offrir à l'industrie pharmaceutique et de la santé une protection efficace contre la cybercriminalité et les menaces internes. Pour relever les défis de la cybersécurité, les entreprises du secteur de la santé et de l'industrie pharmaceutique doivent adopter une approche proactive de la cybersécurité et mettre en œuvre des mesures préventives pour protéger les données sensibles. Ces mesures peuvent inclure la sécurisation du périmètre du réseau, la gestion des accès privilégiés, la mise en œuvre d'une approche d'accès au réseau de confiance zéro et la sécurisation des environnements en nuage. Une formation à la cybersécurité et à la prévention de la cybercriminalité doit également être dispensée aux employés afin de minimiser le risque de menaces internes.

Une évaluation de l'impact et des lacunes cybernétiques peut permettre d'identifier les risques existants. Cette évaluation porterait sur le monde numérique et le monde réel afin d'identifier les vides que des attaquants malveillants pourraient utiliser sciemment ou non. Une fois les risques connus, l'organisation peut utiliser son appétit pour le risque afin de les traiter, de payer pour les supprimer, d'introduire des mesures compensatoires et des contrôles, ou d'accepter le risque.
En conclusion, chaque secteur a besoin d'une cybersécurité et d'une prévention de la cybercriminalité solides pour protéger ses données et ses informations vitales contre les cybercriminels. Les entreprises des secteurs de la santé et de l'industrie pharmaceutique sont des cibles de choix pour les cybercriminels. Ces entreprises doivent prendre les mesures appropriées, identifier les risques, prendre des décisions et mettre en œuvre des solutions et des meilleures pratiques pour se protéger. Elles disposent d'une surabondance de données confidentielles qui, en cas de violation, peuvent avoir de graves conséquences et potentiellement nuire à l'économie, à la santé et au public en général. En adoptant une approche proactive, l'industrie peut protéger les données sensibles et atténuer le risque de dommages financiers et de réputation importants.

Darren Mullins - Associé - Accuracy

Paul Wright - Conseiller principal - Accuracy

Arthur Couvreur - Administrateur - Accuracy

Steve Molloy - Directeur - Accuracy