Failles de sécurité chez Advanced: 6M£ d’amende pour le fournisseur du NHS
Le bras de fer se poursuit entre le régulateur britannique des données (ICO) et Advanced, important fournisseur de logiciels pour le système de santé public du Royaume-Uni (NHS). Suite au retentissant piratage subi par Advanced en août 2022 et revendiqué par le groupe de ransomware LockBit, les autorités viennent d'annoncer une amende provisoire de plus de 6 millions de livres à l'encontre de l'entreprise. En cause : des manquements dans la sécurisation des données personnelles des patients, ayant facilité l'accès initial des cybercriminels.
Les dessous d'un piratage massif et ses lourdes conséquences
L'attaque ransomware contre Advanced, survenue en plein été 2022, a provoqué une vague de perturbations au sein des services de santé britanniques pendant plusieurs semaines. Outre la ligne d'urgence 111, de nombreux hôpitaux et cabinets médicaux se sont retrouvés paralysés, forcés de revenir au papier et au crayon, dans l'impossibilité d'accéder aux dossiers des patients.
Les cybercriminels ont initialement accédé aux systèmes de santé d'Advanced via un compte client qui ne disposait pas d'une authentification multifacteur.
Information Commissioner's Office (ICO)
L'enquête menée par la société de réponse aux incidents Mandiant a confirmé l'utilisation de logiciels malveillants propres au groupe LockBit. Pour autant, ce dernier n'a jamais revendiqué publiquement son méfait, ce qui laisse suspecter un possible paiement de rançon par Advanced. Interrogé sur ce point, l'éditeur n'a pas souhaité faire de commentaire.
L'ICO pointe du doigt l'absence d'authentification forte
Dans un rapport d'octobre 2022, Advanced reconnaissait que les pirates avaient pénétré son réseau "en utilisant les identifiants légitimes d'un tiers", sous-entendant l'absence d'authentification multifacteur sur ce compte. Une faille de sécurité que l'ICO vient aujourd'hui confirmer, en infligeant à Advanced une amende provisoire de 6,09 millions de livres (7,75 millions de dollars) pour "non-mise en œuvre de mesures de sécurité appropriées avant l'attaque afin de protéger les informations personnelles traitées".
Selon les autorités, ce piratage a conduit au vol des données de près de 83 000 personnes au Royaume-Uni, comprenant des numéros de téléphone, des dossiers médicaux, ainsi que des détails sur "la façon d'accéder aux domiciles de 890 personnes recevant des soins à domicile".
Le coût réel d'une cyberattaque dans le secteur de la santé
Au-delà de l'amende record, qui reste provisoire et pourrait évoluer selon l'ICO, cet incident met en lumière l'importance cruciale de la cybersécurité dans le domaine de la santé. Outre les perturbations des soins et l'impact sur les patients, de telles attaques exposent des données ultra-sensibles et fragilisent durablement la confiance envers les institutions et prestataires.
Dans un contexte de numérisation accélérée du secteur, galvanisée par la crise du COVID, la sécurisation des systèmes et la protection des données personnelles s'imposent comme des priorités absolues. Et cela passe avant tout par des mesures de base :
- Généraliser l'authentification multifacteur et les mots de passe forts.
- Sensibiliser et former les utilisateurs aux risques cyber.
- Durcir les accès aux données et applications critiques.
- Auditer et renforcer régulièrement les défenses.
Car au final, la facture d'une cyberattaque dépasse largement le coût d'une amende, aussi lourde soit-elle. Entre l'interruption d'activité, la remédiation technique, l'atteinte réputationnelle ou encore les poursuites judiciaires, c'est toute la résilience et la pérennité d'une organisation qui est menacée. Un constat qui vaut pour le secteur de la santé comme pour toute entreprise à l'ère du numérique.
Espérons que ce nouvel avertissement de l'ICO, qui entend "éviter des incidents similaires à l'avenir", saura accélérer une réelle prise de conscience. Pour que la digitalisation rime enfin avec sécurisation.