Points clés
- Les menaces ciblant les services de télésoin évoluent avec la généralisation de ces services et leur valeur croissante pour les attaquants.
- Les attaques ransomware, le vol d'identifiants de professionnels de santé et les fraudes aux prescriptions sont les menaces les plus actives selon ENISA Health Threat Landscape 2023.
- Les groupes cybercriminels ont adapté leurs techniques aux spécificités du secteur de la santé numérique, incluant des campagnes de phishing ciblant spécifiquement les professionnels de santé pratiquant la télémédecine.
- Le trafic de données de santé sur les marchés clandestins est estimé à 250 dollars par dossier médical complet selon un rapport de SecureWorks 2023 — dix fois la valeur d'un numéro de carte bancaire.
- MITRE ATT&CK for Health Care (2022) documente les techniques d'attaque spécifiques utilisées contre le secteur de la santé numérique.
Le développement rapide des services de télésoin a attiré l'attention des acteurs malveillants. Les données de santé sont parmi les plus valorisées sur les marchés clandestins. Les services de télémédecine, qui agrègent ces données dans des systèmes accessibles à distance, constituent des cibles de choix pour les attaquants qui ont rapidement adapté leurs techniques aux spécificités de ce secteur.
Pour les directions d'établissements, comprendre l'évolution de ces menaces est une condition de l'adéquation de leurs mesures de protection. Un programme de sécurité basé sur le paysage des menaces d'il y a cinq ans est structurellement inadapté aux risques actuels. La veille sur les menaces sectorielles — via les CERT santé nationaux, les ISAC (Information Sharing and Analysis Centers) sectoriels et les publications de l'ENISA — est une composante de cette adaptation.
Le ransomware comme menace dominante
Le ransomware est la menace la plus fréquente et la plus impactante pour les services de télémédecine. Les groupes cybercriminels ont identifié que les établissements de santé, dont la continuité des soins dépend directement de la disponibilité de leurs systèmes numériques, sont des cibles particulièrement inclines à payer des rançons pour restaurer rapidement leur activité. Cette réalité a conduit à une spécialisation de certains groupes (Conti, BlackCat/ALPHV, LockBit) dans les attaques contre le secteur de la santé.
Les tactiques ont évolué : au chiffrement simple s'est ajoutée la double extorsion (menace de publication des données volées), puis la triple extorsion (contact direct des patients pour exercer une pression supplémentaire, comme dans le cas Vastaamo). Cette évolution impose que les plans de réponse aux incidents incluent des procédures spécifiques pour la gestion des victimes de l'extorsion.
Le vol d'identifiants de professionnels
Les identifiants des professionnels de santé pratiquant la télémédecine sont des cibles précieuses. Un compte de médecin compromis permet à un attaquant d'émettre des prescriptions frauduleuses, d'accéder aux données de santé des patients, ou d'utiliser le compte comme vecteur d'intrusion plus profonde dans le SI de l'établissement. Les campagnes de phishing ciblant spécifiquement les professionnels de santé ont augmenté de 300 % entre 2020 et 2023 selon les données Cofense.
La protection contre ces campagnes passe par l'authentification multifacteur, la formation des professionnels à la reconnaissance des tentatives de phishing, et les solutions de surveillance des connexions inhabituelles sur les plateformes de télémédecine.
Les fraudes aux prescriptions en ligne
La télémédecine a créé de nouvelles opportunités de fraude aux prescriptions médicales. Des réseaux frauduleux utilisent des failles dans les processus d'authentification de plateformes de télémédecine pour obtenir des prescriptions de médicaments contrôlés — antalgiques, anxiolytiques, stimulants — via des professionnels de santé complaisants ou dont les comptes ont été compromis. Ces fraudes ont un impact direct sur la santé publique et exposent les établissements à des poursuites réglementaires.
L'attaque contre Scripps Health a démontré la sophistication des attaques ciblant les établissements de santé avec des services de télémédecine. Les attaquants ont maintenu un accès non détecté pendant plusieurs semaines avant de déployer le ransomware, exfiltrant des données de 147 000 patients. La reconnaissance préalable du réseau incluait l'identification spécifique des systèmes de télémédecine comme cibles prioritaires. Le MTTD (Mean Time to Detect) de plusieurs semaines illustre les limites des capacités de détection habituelles face à des attaques patientes.
Le CERT Santé français a documenté une augmentation significative des campagnes de phishing ciblant les professionnels de santé en 2022-2023. Ces campagnes, souvent déguisées en communications officielles des éditeurs de logiciels médicaux ou des ordres professionnels, visaient à voler les identifiants des professionnels pour accéder aux plateformes de télémédecine. Le CERT Santé a émis plusieurs bulletins d'alerte et développé des modules de sensibilisation adaptés aux professionnels de santé.
MITRE ATT&CK et Mandiant ont documenté des campagnes du groupe APT41, lié à l'État chinois, ciblant des établissements de santé et des plateformes de télémédecine en Asie-Pacifique pour l'accès à des données de recherche clinique et des dossiers de santé. Ces campagnes utilisaient des techniques d'exploitation de vulnérabilités dans les composants d'authentification des plateformes de télémédecine et des logiciels médicaux. Plusieurs établissements singapouriens et australiens ont été identifiés comme cibles dans ces campagnes.