Cyberimposture : hôpitaux, professionnels de santé et patients en ligne de mire

Proofpoint a analysé plus de 160 milliards d’emails envoyés dans 150 pays en 2017 et 2018 afin d’identifier et qualifier les cyber menaces visant plus de 450 établissements de santé. Si les attaques de type cyberimposture sont en forte augmentation, leur sophistication est également de plus en plus poussée. Des solutions existent pour réduire les risques.

Fraude par email, cyberimposture ou encore Business Email Compromise (BEC) en anglais, il existe plusieurs appellations pour désigner l’une des plus grandes menaces venues du cyberespace. Selon le FBI, elle a coûté pas moins de 12,5 milliards de dollars aux entreprises du monde entier depuis 2013. Dans le domaine de la santé, les enjeux sont d’autant plus importants qu’au-delà des risques financiers, des données médicales et des vies peuvent rapidement être mises en danger.

Cyberimposture : de quoi s’agit-il exactement ?

Comme toute imposture, l’objectif de l’attaque est de parvenir à se faire passer pour quelqu’un d’autre afin d’obtenir le plus souvent un virement sinon des informations qui seront utilisées ultérieurement. L’attaque ne vise pas un logiciel, une application ou un système d’information, mais bien une ou plusieurs personnes qui ont été précédemment identifiées. Ainsi selon le Journaldunet, une filiale à Hong Kong d’Ubiquiti Networks Inc. a payé plus de 45 millions de dollars à des pirates s’étant fait passer pour l’un de ses fournisseurs. La banque belge Crelan aurait enregistré une perte d’environ 70 millions de dollars à cause d’emails frauduleux.

Sans virus, ni malware, ni pièces attachées, ni lien suspect, ces emails frauduleux sont la plupart du temps indétectables par les antivirus traditionnels. Leur seule anomalie est d’usurper l’expéditeur et/ou le nom de domaine de l’établissement.

Les directions financières et des ressources humaines sont souvent ciblées, mais dans les hôpitaux des profils plus techniques peuvent être visés, mais également directement les patients.

42 % des emails envoyés aux patients depuis un nom de domaine hospitalier sont suspectés d'usurpation

Selon l’étude réalisée par Proofpoint :
- 77 % des attaques de ce type ciblaient au moins 5 employés, 7 % une seule
- 96 attaques par établissement en moyenne au dernier trimestre de 2018 (T4-2018) soient presque 5 fois plus qu’en 2017 à la même période
- 65 membres du personnel ont été ciblées par établissement durant le dernier trimestre de 2018
- c’est entre 7h et 13h que les attaques se produisent
- 95 % des emails reçus utilisaient leurs propres noms de domaines
- 45 % de tous les emails envoyés à partir de domaines appartenant au secteur de la santé semblaient suspects.
Ces pourcentages montent à 65 % lorsque les emails sont envoyés à des employés, 42 % à des patients et 15 % à des partenaires commerciaux.

Dans son étude Proofpoint recommande de mettre en place :
- L’authentification systématique des emails (DKIM) associée à la publication d’une politique DMARC stricte visant à interdire aux fournisseurs de messagerie la délivrance de messages qui ne seraient pas authentifiés.
- l’analyse du contenu et du contexte des emails frauduleux pour arrêter l’usurpation d’identité et de domaines.
- L’identification et le signalement automatique des domaines potentiellement à risque enregistrés par des fraudeurs.