Cyberattaques majeures dans le secteur de la santé
À chaque nouvelle avancée technologique, les cybercriminels s’empressent d’exploiter les vulnérabilités potentielles. Cela complique la tâche des entreprises, des gouvernements et des particuliers pour garder une longueur d’avance sur les menaces en constante évolution. L’année dernière, nous avons été témoins des cyberattaques les plus graves à ce jour, avec des ramifications qui vont au-delà de la perte financière, affectant tout, des données personnelles à la sécurité nationale.
Les douze derniers mois ont été une succession de péripéties en ce qui concerne les cyber événements dans le monde entier. Nous allons donc nous concentrer sur les plus importants, soit en raison de leur impact sur la société, soit parce qu’ils nous donnent un bon aperçu que nous pouvons tous utiliser pour améliorer la position de nos entreprises en matière de cybersécurité.
L’incident Crowdstrike
Le 19 juillet 2024 s’est produite la plus grande panne informatique de tous les temps. En l’espace de quelques minutes, environ 8,5 millions de systèmes Windows utilisant l’agent CrowdStrike Falcon se sont bloqués ou ont eu un écran bleu et ont continué à redémarrer puis à se bloquer jusqu’à ce qu’ils soient réparés manuellement. Cet outil Endpoint Detection and Response (EDR) repose (comme tous les outils Windows) sur un pilote de noyau et une mise à jour particulière de la signature comportait une faille logique qui a provoqué le crash du système après l’écriture de données dans une partie de la mémoire qui n’était pas censée le faire. Le coût estimé pour les entreprises du classement Fortune 500 touchées est de plus de 5,4 milliards de dollars américains.
En septembre, Microsoft a organisé un sommet pour tous les fournisseurs de cybersécurité produisant des agents pour Windows afin de discuter de la voie à suivre et de s’assurer qu’une telle panne ne se reproduise jamais. Beaucoup ont suggéré que Microsoft adopte l’approche de macOS, qui consiste à ne permettre aucun accès au noyau pour les agents EDR et à ne fournir qu’un accès API. De nombreux experts, y compris chez Hornetsecurity, pensent que c’est trop radical et que cela freine également l’innovation, et Microsoft semble être d’accord. Il semble que les futures versions de Windows auront plus de garde-fous contre ce type de risques, tout en évitant de bloquer totalement l’accès au noyau.
Changer le secteur de la santé
En février 2024, Change Healthcare, une filiale de UnitedHealth, a subi une attaque massive de ransomware qui a compromis les dossiers personnels, financiers et médicaux d’environ 100 millions d’Américains. Cette violation a été attribuée au gang de ransomware BlackCat, basé en Russie, et est considérée comme la plus grande violation connue d’informations de santé protégées aux États-Unis. Les auteurs de l’attaque ont exploité les vulnérabilités du réseau de l’entreprise, accédant ainsi à des données sensibles, y compris les antécédents médicaux des patients, les détails de l’assurance et les informations relatives aux paiements. Cette violation a non seulement révélé les insuffisances des défenses de Change Healthcare en matière de cybersécurité, mais elle a également mis en évidence les vulnérabilités plus générales du secteur des soins de santé aux États-Unis.
À la suite de cette violation, Change Healthcare s’est efforcé de limiter les dégâts et a travaillé en étroite collaboration avec les autorités fédérales pour enquêter sur l’incident. L’entreprise a dû faire face à une levée de boucliers de la part du public et des organismes de réglementation, ce qui a conduit à des appels en faveur d’une réglementation plus stricte en matière de protection des données dans le secteur des soins de santé.
L’autre fait marquant de cette attaque est qu’elle fait partie d’un nombre croissant de cas où le bilan humain d’une cyber-attaque est très VRAI. En l’occurrence, des patients américains n’ont pas pu obtenir des médicaments essentiels en temps voulu. Un autre exemple d’attaque ayant un coût humain très réel est une violation similaire du NHS (National Health Service) britannique. Ces attaques montrent que les auteurs des attaques sont de plus en plus attentifs aux personnes qu’ils ciblent et qu’ils peuvent même choisir des cibles dans le secteur de la santé afin d’augmenter la probabilité d’un gros paiement.
Données publiques nationales
La violation de National Public Data (NPD), qui s’est produite au début de l’année 2024, est l’une des plus importantes violations de données de l’histoire, exposant jusqu’à 2,9 milliards de dossiers. Cette violation a affecté environ 170 millions de personnes aux États-Unis, au Royaume-Uni et au Canada. Les données compromises comprenaient des informations personnelles très sensibles telles que les noms et prénoms, les numéros de sécurité sociale, les adresses postales, les adresses électroniques et les numéros de téléphone. La faille a été découverte lorsqu’un acteur malveillant a accédé aux systèmes de l’entreprise en décembre 2023 et a divulgué les données sur le dark web d’avril à l’été 2024.
Les risques associés à cette violation sont importants, car les données exposées peuvent être exploitées pour diverses activités cybercriminelles et frauduleuses. Les personnes touchées par la violation sont confrontées aux risques habituels d’usurpation d’identité, d’activités financières non autorisées et d’attaques ciblées par hameçonnage. Ce qui est particulièrement notable à propos de cette masse de données, c’est que les acteurs de la menace peuvent l’utiliser pour faire des liens croisés entre les individus. Cela leur permet de créer des attaques d’ingénierie sociale de plus en plus convaincantes ciblant de futures victimes.
Violation du Service de Tests ADN 23andMe
L’entreprise a minimisé pendant plusieurs mois l’ampleur de la violation du service de test ADN 23andMe, jusqu’à ce qu’il apparaisse clairement, en décembre 2023, que les données de 6,9 millions de clients ont été volées (mais n’ont pas été divulguées publiquement), tandis qu’un million de clients d’origine juive ont vu leurs données divulguées sur BreachForums, un forum de piratage informatique populaire maintenant disparu. La MFA n’était pas appliquée mais est désormais obligatoire pour tous les utilisateurs et 23andMe fait actuellement face à de graves problèmes financiers, en partie à cause de la violation.
Une année de drame de sécurité chez Microsoft
En juin 2023, le groupe chinois (Storm-0558) a compromis les messageries électroniques de 22 entreprises dans le monde, dont le département d’État américain (60 000 e-mails volés). En janvier 2024, Midnight Blizzard (Russie) s’est introduit dans les messageries de Microsoft, en devinant des mots de passe pour accéder à un environnement de test, qui disposait d’une application OAuth donnant accès à l’environnement de production. Cette attaque faisait suite à celle de Midnight Blizzard en 2020 (SolarWinds) et à celle de juillet 2021, au cours de laquelle les pirates avaient volé des informations sur un nombre limité de clients. En mars 2024, ils ont lancé une nouvelle attaque, accédant à certains systèmes internes et à des référentiels de code source en utilisant des documents d’authentification volés lors de l’attaque de janvier.
En avril 2024, le Comité d’examen de la cybersécurité (CSRB) a publié son troisième rapport, consacré cette fois au piratage chinois de 2023 mentionné ci-dessus. Le rapport est cinglant dans son évaluation des raisons de la compromission de Microsoft, décrivant une série de défaillances qui ont conduit à la violation et formulant 25 recommandations d’amélioration.
Ce rapport et les attaques ont conduit Microsoft à adopter l’initiative Secure Future (SFI), qui ressemblait à l’origine plutôt à un flyer marketing. Mais désormais, tous les employés de Microsoft verront leur impact sur la sécurité mesuré chaque année, et le nouveau mantra de Satya Nadella est de « mettre la sécurité au premier plan ». Nous verrons ce qu’il en est au cours de l’année ou des deux années à venir.
Gardez une longueur d’avance sur les cybercriminels avec le Security Awareness Service de Hornetsecurity
Les cybermenaces sont en constante évolution et l’erreur humaine est souvent le maillon faible. Notre Security Awareness Service permet à votre équipe d’acquérir les connaissances et les compétences nécessaires pour reconnaître les escroqueries par phishing, les tactiques d’ingénierie sociale et les autres cybermenaces courantes, et pour les contrer.
Protégez votre organisation en investissant dans la formation continue et la formation pratique, afin que vos employés restent vigilants face aux risques croissants.
Demandez votre démo dès maintenant et commencez à former votre équipe dès aujourd’hui pour créer un environnement numérique plus sûr pour votre entreprise !
Conclusion
Les événements de l’année dernière ont mis en évidence le caractère dynamique et les enjeux importants de la cybersécurité. Qu’il s’agisse de violations dévastatrices ou de pannes informatiques imprévues, ces incidents nous rappellent les vulnérabilités auxquelles nous sommes tous confrontés dans un monde de plus en plus numérique. À mesure que nous avançons, il est essentiel que nous retenions ces leçons, que nous renforcions nos défenses et que nous nous préparions à faire face aux menaces en constante évolution qui nous attendent. Ce n’est qu’en restant vigilants et en nous adaptant que nous pourrons garantir un avenir numérique plus sûr pour tous.
