Les données de santé sont parmi les biens les plus précieux de la cybercriminalité

Pendant une période de douze mois, les chercheurs de TrendAI ont analysé 7 779 publications sur des forums clandestins, 21 813 annonces de marché et 95 sites de fuite de ransomwares liés à la cybercriminalité dans le secteur de la santé. Les résultats montrent que les données de santé restent l'un des biens les plus convoités dans le monde souterrain criminel. Leur durabilité, leur sensibilité et la possibilité de les utiliser pour diverses formes de fraude et d'extorsion en même temps en font des cibles particulièrement attirantes pour les criminels.

Ransomware comme moteur du commerce souterrain

Les ventes de données issues d'incidents de ransomware représentaient plus d'un tiers (36,3 %) de l'ensemble des activités du marché. Les acteurs de ransomware combinent de plus en plus le chiffrement avec le vol et l'extorsion de données. De plus, les chercheurs ont identifié une cible croissante sur les fournisseurs de dossiers de santé électroniques. Une seule attaque réussie peut alors compromettre des centaines d'établissements de santé en aval.

Le rapport montre également que les cybercriminels ne se limitent plus à la vente de jeux de données complets. Sur les marchés clandestins, les données de santé sont de plus en plus utilisées comme base pour le vol d'identité, la fraude à l'assurance, les certificats et les ordonnances falsifiés, ainsi que la prise de contrôle de comptes de patients et d'employés. Cela permet de monétiser les sets de données volés à plusieurs reprises sur des années.

"Les données de santé sont passées du statut d'informations volées à celui d'actifs que les cybercriminels peuvent exploiter à long terme," explique Mayra Rosario, chercheuse senior en menaces chez TrendAI. "Contrairement à une carte de crédit, on ne peut pas simplement annuler et remplacer les diagnostics, les antécédents de traitement ou les données biométriques d'un patient – cela les rend particulièrement attractifs pour les groupes de ransomware et les revendeurs de données."

De l'auteur solitaire à la chaîne d'approvisionnement criminelle

L'étude examine également l'industrialisation progressive de la cybercriminalité dans le secteur de la santé : Les marchés clandestins offrent désormais une large gamme – des informations d'identification aux réseaux hospitaliers et aux données d'assurance jusqu'aux ensembles d'identités complètes et aux documents médicaux falsifiés.

Le rôle des soi-disant courtiers d'accès initiaux est particulièrement en forte croissance. Ces acteurs spécialisés accèdent aux réseaux d'hôpitaux, de cliniques ou de prestataires de santé, puis les vendent à des groupes de ransomware ou à d'autres cybercriminels. La division du travail réduit les barrières à l'entrée pour les attaquants et accélère la commercialisation des attaques contre les établissements de santé.

"Ce que nous observons, ce ne sont pas des cas isolés, mais une économie souterraine sophistiquée, construite spécifiquement autour des cyberattaques contre le secteur de la santé," déclare Dirk Arendt, Directeur Gouvernement, Public et Santé DACH chez TrendAI. "Les incidents actuels en Allemagne et dans le monde entier montrent clairement à quel point les données des patients sont ciblées par les cybercriminels et doivent être mieux protégées."

Fournisseurs de logiciels comme point d'entrée : Un risque avec un effet multiplicateur

L'étude avertit également que les compromissions de la chaîne d'approvisionnement au travers des fournisseurs de logiciels et des plateformes médicales deviennent un amplificateur de risque central pour l'ensemble du secteur. Elles permettent aux attaquants de faire évoluer leurs opérations bien au-delà des seuls hôpitaux ou cliniques."

Systèmes d'imagerie médicale non protégés dans le monde entier

Parallèlement, les chercheurs de TrendAI ont identifié des risques considérables liés aux systèmes d'imagerie médicale connectés à Internet. Une enquête séparée a trouvé 3 627 serveurs DICOM accessibles au public dans plus de 100 pays. DICOM (Digital Imaging and Communications in Medicine) est la norme centrale pour l'échange d'images médicales telles que les IRM, TDM ou radiographies.

Il s'est avéré particulièrement critique que DICOM soutient depuis des décennies des mécanismes de sécurité tels que le chiffrement, l'authentification et le contrôle d'accès, mais qui sont à peine utilisés en pratique. Seulement 0,14 % des systèmes identifiés utilisaient le chiffrement TLS prévu, alors que 99,56 % acceptaient des connexions sans vérification efficace de l'authentification. Le rapport met en garde que les attaquants peuvent ainsi espionner les données des patients, manipuler les données d'imagerie médicale, insérer des ransomwares ou se déplacer latéralement dans les réseaux hospitaliers.

Pour plus d'informations

Vous trouverez le rapport complet 'The Cybercriminal Underground: Mapping the Healthcare Data Economy' ici: https://www.trendaisecurity.com/de/resources-insights/research/the- cybercriminal-underground-mapping-the-healthcare-data-economy

Vous trouverez le rapport complet 'Exposed DICOM Servers and the Risk to Patient Data' ici: https://www.trendmicro.com/vinfo/de/security/news/cybercrime-and-digital-threats/a-hidden-vulnerability- in-healthcare-exposed-dicom-servers-and-the-risk-to-patient-data

Contact presse TrendAI™
c/o BRAND AFFAIRS AG
Mischa Keller
MSc Business Administration Partner
Téléphone: +41 44 254 80 00
E-Mail: trendmicro-media@brandaffairs.ch

Mühlebachstrasse 8
8008 Zürich
Suisse

Note de l'éditeur : Les droits d'image appartiennent à l'éditeur respectif.