Les cybercriminels peuvent cibler les secteurs privé et public¹ lorsqu’ils exploitent les vulnérabilités liées au bien-être, y compris les soins de santé. Ce terme général englobe les produits pharmaceutiques, la recherche et de nombreux autres aspects des soins médicaux. Les produits pharmaceutiques sont un élément essentiel des soins de santé, mais ne représentent qu’une seule partie du puzzle.

Dans le secteur privé, les cybercriminels peuvent cibler les entreprises qui proposent des produits ou des services liés à la santé, comme les sociétés pharmaceutiques ou les fournisseurs d’assurance maladie. Ils peuvent chercher à voler des informations confidentielles sur les patients, des secrets commerciaux ou des données financières. Ils peuvent également lancer des attaques qui perturbent les opérations commerciales, causant des préjudices aux patients ou aux clients.

Dans le secteur public, les cybercriminels ciblent les agences gouvernementales responsables de la santé et de la sécurité publiques, telles que les hôpitaux, les services de santé publique ou les systèmes d’intervention d’urgence. Ils peuvent chercher à perturber les services, à dérober des informations sensibles ou à diffuser des informations erronées pour provoquer la panique et nuire au public. En 2020, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a signalé une augmentation des cyberattaques ciblant les agences fédérales, notamment une attaque de haut niveau sur la chaîne d’approvisionnement du logiciel SolarWinds qui a affecté plusieurs agences gouvernementales.²

En d’autres termes, les stratégies et meilleures pratiques basées sur les risques sont plus que jamais essentielles. Une violation de la cybersécurité ou un cybercrime peut amener au chaos dans n’importe quelle entreprise, compromettre les actifs, dévoiler des données sensibles, et peut même aller jusqu’à entraîner la perte de vies humaines en endommageant potentiellement les systèmes destinés à sauver des vies.

Un cybercrime peut en effet causer de graves dommages, voire la mort, chez des organismes vivants ou des infrastructures critiques indispensables à la vie. Les systèmes respiratoires, cardiovasculaires et nerveux du corps humain sont des exemples de systèmes vitaux susceptibles d’être menacés. Les conséquences de ces événements peuvent être graves, entraînant potentiellement la perte de vies, une destruction étendue et des impacts économiques et sociaux durables. Par conséquent, il est important de répondre de manière appropriée pour prévenir ou atténuer les effets de ces événements, chaque fois que cela est possible.

Une violation ou un cybercrime nécessite également du temps, des ressources et des efforts pour être contenu, éradiqué et pour en atténuer les dommages. Les secteurs de la santé et de la pharmacie représentent un domaine dans lequel les attaques augmentent.

De nombreux secteurs, tels que les entreprises de construction³ et maritimes⁴, sont exposées à un risque accru de cyberattaques et de cybercrimes. Elles sont des cibles de choix pour les cybercriminels. L’industrie pharmaceutique et de la santé est l’une des industries attaquées les plus importantes, car elle garantit fondamentalement notre bien-être.⁵ Elle fait face à un défi sans précédent, car les cybercriminels continuent à la cibler, mettant en danger les données sensibles des patients et la recherche.

En 2022 et 2023, plusieurs prestataires de soins de santé, dont Sharp HealthCare, Choice Health Insurance, Shields Health Care Group et Alameda Health System, ont subi des violations de données où les informations personnelles des patients, telles que les numéros de sécurité sociale, les données d’assurance maladie et les dossiers médicaux, ont été compromises. Les sociétés de la Croix-Rouge et du Croissant-Rouge dans le monde entier ont également subi une cyberattaque complexe qui a entraîné la saisie de données appartenant à plus de 515 000 personnes vulnérables.⁶

Selon Cybersecurity Ventures, les dommages causés par la cybercriminalité devraient atteindre 10 000 milliards de dollars d’ici 2025, ce qui en fait l’une des plus grandes menaces pour les entreprises mondiales. ⁷ Le Rapport sur les risques mondiaux 2023 du Forum économique mondial souligne également que les cyberattaques représentent un risque important pour l’économie mondiale, les entreprises de soins de santé et pharmaceutiques étant parmi les plus vulnérables. ⁸

Une préoccupation majeure pour ce secteur est le risque pour la chaîne d’approvisionnement ; les cyberattaques contre les fournisseurs tiers peuvent potentiellement compromettre l’ensemble de la chaîne. Dans un rapport de TechTarget Pharma News Intelligence, le risque de cybersécurité pour la chaîne d’approvisionnement pharmaceutique est estimé à plus de 31 millions USD par an.⁹ C’est une préoccupation majeure pour l’industrie, car les perturbations de la chaîne d’approvisionnement pourraient avoir de graves conséquences pour les patients qui dépendent de médicaments vitaux.

Les violations historiques montrent que l’industrie pharmaceutique et des soins de santé a toujours été exposée à des cyberattaques, car de nombreux cybercriminels cherchent à voler leurs données sensibles et confidentielles. Cela peut inclure, sans s’y limiter, les prescriptions, la recherche et les informations sensibles sur les patients en raison de leurs données précieuses. Ces entreprises sont devenues une cible de choix pour les cybercriminels. L’une des méthodes d’attaque est l’hameçonnage (phishing) avec des courriels malveillants, comprenant un lien et un message pour inciter les victimes à cliquer dessus, signe avant-coureur d’une attaque de rançongiciel. C’est ce qui est arrivé au centre médical OakBend, basé au Texas. Celui-ci a subi une attaque de rançongiciel en septembre 2022, forçant le service informatique de l’hôpital à mettre tous les systèmes hors ligne et en mode verrouillé.¹⁰ Plus récemment, plus de 94 000 patients de la Florida Medical Clinic ont été informés qu’une attaque de rançongiciel déployée contre le réseau du fournisseur le 9 janvier 2023 a permis à l’attaquant d’accéder à des fichiers spécifiques contenant leurs informations de santé.¹¹

Comme dans la plupart des secteurs, le risque de telles attaques est immense pour l’industrie pharmaceutique et de la santé. Les attaques de rançongiciels visent à extorquer des rançons aux victimes en utilisant des logiciels malveillants. S’ils ne sont pas payés, les cybercriminels peuvent menacer de diffuser les données sur Internet et franchissent souvent le pas. L’attaque peut causer des problèmes considérables aux entreprises, tels que des pannes d’ordinateur, des pertes financières et des atteintes à la réputation, comme l’a montré la cyberattaque par email de hameçonnage qui a paralysé le Health Service Executive (HSE) irlandais en 2021.¹²

En 2022, une cyberattaque contre un fournisseur informatique majeur du National Health Service (NHS) au Royaume-Uni a également été confirmée comme une attaque de rançongiciel. ¹³

Les hôpitaux ont observé des variations de ce type de crise. Les systèmes de santé doivent revoir leurs cyberdéfenses concernant les pages web en réponse aux menaces du groupe hacktiviste pro-russe connu sous le nom de Killnet, qui utilise des attaques par déni de service (Distributed Denial of Service, DDoS) ¹⁴ pour mettre hors service des pages web directes et violer des informations de santé protégées (PHI).¹⁵ Les attaques DDoS créent deux problèmes principaux pour les prestataires de soins de santé.

Tout d’abord, supposons qu’une attaque DDoS désactive le portail web d’un hôpital. Cette attaque peut affecter la planification des rendez-vous, les prescriptions et les autres services auxquels les patients accèdent via le portail. Dans ce cas, les hôpitaux doivent se préparer à effectuer ces tâches administratives d’une autre manière.

Deuxièmement, un groupe de rançongiciel mène une attaque DDoS contre une cible, et tandis que l’équipe de cybersécurité gère l’attaque, le groupe déploie le rançongiciel. L’équipe de cybersécurité se concentre sur le nettoyage des attaques DDoS et ne s’aperçoit pas qu’il se passe autre chose. Le véritable problème survient lorsque les données du patient sont cryptées ou volées et diffusées.

La fuite de données volées s’est produite précédemment. Suite à la cyberattaque contre l’Agence européenne des médicaments (European Medicines Agency, EMA), une agence décentralisée liée à l’Union européenne et chargée d’examiner et d’approuver les vaccins avant leur distribution, de surveiller et d’évaluer ces médicaments, les cybercriminels ont divulgué les données de vaccination contre la Covid-19 de Pfizer et BioNTech.¹⁶

Il est impératif que les fournisseurs de produits pharmaceutiques et de soins de santé soient conscients des menaces qui pèsent sur le secteur et qu’ils disposent d’un plan et de la technologie adéquate pour les identifier et les atténuer.

L’automatisation, les vendeurs tiers, les fournisseurs, les groupes de soins de santé et les nouveaux outils technologiques dominent le secteur de la santé et de la pharmacie. Ils sont bénéfiques, car ils sont nécessaires pour maintenir des chaînes d’approvisionnement vitales et soutenir la recherche, les soins et le développement. Cependant, si un fournisseur tiers est victime d’une infraction, cela peut nuire à tous ses partenaires. De plus, l’accès des tiers et leur sécurité dans le secteur des soins de santé sont fortement menacés.¹⁷ La preuve en a été faite en juillet 2022, lorsque Infinity Rehab a notifié au ministère américain de la santé et des services sociaux (HHS) que 183 254 patients s’étaient fait voler leurs données personnelles. Dans le même temps, Avamere Health Services a informé le HHS que 197 730 patients avaient subi le même sort. Puis le 16 août, MultiCare de Washington a révélé que 18 165 patients supplémentaires étaient affectés par la même violation.¹⁸

L’introduction de l’Internet des objets (IdO) dans le secteur de la santé et pharmaceutique le rend également vulnérable aux cyberattaques et aux cybercrimes. L’IdO est utilisé pour rationaliser et analyser les données critiques des patients tandis que les procédures à multiples facettes deviennent plus efficaces. Bien que les appareils IdO soient fortement associés à l’industrie¹⁹, ils augmentent les vecteurs de cyberattaque en raison des vulnérabilités.²⁰

De nombreuses entreprises associées au sein du secteur ou associées à celui-ci ont fusionné ou ont été acquises par des sociétés de très grande taille. Ce phénomène peut nuire à la cybersécurité, car les filiales ont tendance à ne pas investir fréquemment dans leur sécurité. Par conséquent, les sociétés mères bien protégées peuvent voir leur sécurité compromise. Les entreprises doivent donc donner la priorité à la cybersécurité et à la prévention de la cybercriminalité avant de prendre les mesures d’acquisition nécessaires.

Lorsque les organisations adoptent une approche axée sur la prévention pour leurs décisions commerciales inclusives, elles sont mieux placées pour gérer et surveiller les cyber-risques de manière proactive plutôt que de réagir et de récupérer après une attaque ou un cybercrime.²¹

La protection préventive et active peut relever ces défis en matière de cybersécurité et offrir à l’industrie pharmaceutique et des soins de santé une protection puissante contre la cybercriminalité et les menaces internes. Pour relever les défis de la cybersécurité, les sociétés pharmaceutiques et de soins de santé doivent aborder de manière proactive la cybersécurité et mettre en œuvre des mesures préventives pour protéger les données sensibles.²² Cela peut inclure la sécurisation du périmètre du réseau, la gestion de l’accès privilégié, la mise en œuvre d’une approche d’accès réseau « confiance zéro » et la sécurisation des environnements cloud. Une formation à la cybersécurité et à la prévention de la cybercriminalité doit également être dispensée aux employés afin de minimiser le risque de menaces internes.

Une cyber-évaluation des lacunes et de l’impact peut identifier les risques présents. Une telle évaluation inclura monde numérique et monde réel pour identifier les vides que les attaquants malveillants pourraient utiliser sciemment ou non. Une fois le risque connu, l’organisation peut utiliser son appétit pour le risque pour y faire face, payer pour l’éliminer, introduire des mesures compensatoires et des contrôles, ou accepter le risque.

En conclusion, chaque secteur d’activité a besoin d’une cybersécurité et d’une prévention de la cybercriminalité solides pour protéger ses données et ses informations vitales contre les cybercriminels. En particulier en tant qu’entreprises, les soins de santé et les produits pharmaceutiques sont des cibles attrayantes pour les cybercriminels. Ces sociétés doivent prendre les mesures appropriées, identifier les risques, prendre des décisions et mettre en œuvre des solutions et de meilleures pratiques pour se protéger. Elles disposent d’une surabondance de données confidentielles qui, en cas de violation, peuvent avoir de graves conséquences et potentiellement nuire à l’économie, à la santé et au public en général. En adoptant une approche proactive, le secteur peut protéger les données sensibles et atténuer le risque de dommages financiers et de réputation importants.

1 AJ Thompson, « Public sector data under real threat from cybercriminals », Open Access Government, 11 novembre 2022, https://www.openaccessgovernment.org/public-sector-data-under-real-threat-from-cybercriminals/147375/

2 Agence américaine de cybersécurité et de sécurité des infrastructures. (2021). CISA publie un rapport d’analyse sur le cyber-incident de SolarWinds. https://www.cisa.gov/news/2021/01/05/cisa-releases-analysis-report-solarwinds-cyber-incident

3 Claire Mahoney : « Is the construction industry the next big cybercrime target ? » Security Middle East, 29 mars 2022, https://www.securitymiddleeastmag.com/is-the-construction-industry-the-next-big-cybercrime-target/

4 Saiful Karim, « Study: cyber attack increase threatens sea traffic, ports and offshore rigs », riviera, 14 octobre 2022, https://www.rivieramm.com/opinion/opinion/study-cyber-attack-increase-threatens-sea-traffic-ports-and-offshore-rigs-73323

5 « Hungary: Hungary Must Become Self-Sufficient in Life-Saving Medical Devices. » Rapport MENA, Albawaba (Londres) Ltd., novembre 2022

6 Aaron Drapkin, « Data Breaches That Have Happened in 2022 and 2023 So Far », Tech.Co, Avril 2023, https://tech.co/news/data-breaches-updated-list

7 Steve Morgan, « Cybercrime To Cost The World $10,5 Trillion Annually By 2025 », Cybercrime Magazine, novembre 2020, https://cybersecurityventures.com/cybercrime-damage-costs-10-trillion-by-2025/

8 Forum économique mondial, « Global Risks Report 2023 : We know what the risks are – here’s what experts say we can do about it », Davos 2023, https://www.weforum.org/agenda/2023/01/global-risks-report-2023-experts-davos2023/

9 Samantha McGrail, « Pharmaceutical Supply Chain Cybersecurity Risk Tops $31M Annually », TechTarget Pharma News Intelligence, 20 mai 2021, https://pharmanewsintel.com/news/pharmaceutical-supply-chain-cybersecurity-risk-tops-31b-annually

10 Jonathan Greig, « Texas hospital still bringing systems back online after September 1 ransomware attack », The Record, 14 septembre 2022, https://therecord.media/texas-hospital-still-bringing-systems-back-online-after-sept-1-ransomware-attack/

11 Florida Medical Centre, communiqué de presse « Notice of Florida Medical Clinic System Cyberattack », mars 2023, https://www.floridamedicalclinic.com/press-release/

12 Colm Keena, « Opening of email attachment led to HSE cyber attack, report finds », Irish Times, 10 décembre 2021, https://www.irishtimes.com/news/crime-and-law/opening-of-email-attachment-led-to-hse-cyber-attack-report-finds-1.4752043

13 Joe Tidy – cyber-journaliste, « NHS IT supplier held to ransom by hackers », BBC News, août 2022, https://www.bbc.co.uk/news/technology-62506039

14 Attaque par déni de service (DDoS) : ce terme désigne un cybercrime dans lequel l’attaquant inonde un serveur de trafic internet pour empêcher les utilisateurs d’accéder aux services et sites en ligne connectés.

15 Centre de coordination de la cybersécurité du secteur de la santé, « Pro-Russian Hacktivist Group « KillNet » Threat to HPH Sector », janvier 2023, https://www.hhs.gov/sites/default/files/killnet-analyst-note.pdf

16 Caleb Townsend, « Pfizer/BioNTech COVID-19 Vaccine Data Leaked by Hackers », États-Unis, Cybersecurity Magazine, 2021, https://www. uscybersecurity.net/cyberNews/pfizer-biontech-covid-19-vaccine-data-leaked-by-hackers/

17 En collaboration avec SecureLink, « Third-party risk in healthcare: a continuing crisis », 30 septembre 2022, Becker’s Health IT, https://www. beckershospitalreview.com/cybersecurity/third-party-risk-in-healthcare-a-continuing-crisis.html

18 net, « Infinity Rehab and Avamere Health Services notify 380,984 patients about breach at Avamere (with updates) », juillet 2022, https://www.databreaches.net/infinity-rehab-and-avamere-health-services-notify-380984-patients-about-breach-at-avamere/

19 Kimberly Gregorio, « 6 Real-World Opportunities & Use Cases for IoT in the Pharma Industry », birdzai, 25 février 2022, https://www.p360.com/birdzai/6-real-world-opportunities-and-use-cases-for-io-t-in-the-pharma-industry/

20 Florida Medical Centre, communiqué de presse « Notice of Florida Medical Clinic System Cyberattack », mars 2023, https://www.floridamedicalclinic.com/press-release/

21 McKinsey & Company « Cybersecurity trends : Looking over the horizon », article McKinsey & Company, 10 mars 2022, https://www.mckinsey.com/capabilities/risk-and-resilience/our-insights/cybersecurity/cybersecurity-trends-looking-over-the-horizon

22 Laiba Siddiqui, « Command and Control: Understanding & Defending Against C2 Attacks”, Splunk, 31 mars 2023, https://www.splunk.com/en_us/blog/learn/c2-command-and-control.html