BLOG

Les coûts exorbitants de l'absence de sécurisation des expériences utilisateur dans le domaine de la santé numérique

Vignette de Lane Williams
Lane Williams
Publié le 10 mai 2022

Lorsqu'on lui a demandé pourquoi il ciblait les banques, le braqueur de banque Willie Sutton a simplement répondu : « Parce que c'est là que se trouve l'argent . »

Si le tristement célèbre Willie Sutton, qui a dit cela dans les années 1930, était encore aujourd’hui en vie avec une vision moderne de la criminalité à haut rendement, nous lui demanderions peut-être : « Pourquoi lancez-vous des cyberattaques contre les entreprises du secteur de la santé ? »

La raison en est claire. Le coût moyen d’une violation de données dans tous les secteurs d’activité est de 4,24 millions de dollars par incident. Dans le secteur de la santé, le coût grimpe à 9,23 millions de dollars par violation de données, contre 7,13 millions de dollars en 2021, ce qui fait du secteur de la santé le secteur où les coûts de violation de données sont les plus élevés, y compris ceux de la finance, des produits pharmaceutiques, de la technologie et de l'énergie. 

Pourquoi une violation de données de santé est-elle plus coûteuse ? Les entreprises de soins de santé disposent d'un trio d'informations attrayantes pour les mauvais acteurs : les informations personnelles identifiables (PII), les informations de santé protégées (PHI) et les informations financières. 

Le rapport « Coût d'une violation de données 2021 » d'IBM indique que le coût moyen d'une perte d'informations personnelles identifiables sur un client est de 180 $ par enregistrement. Il indique également que le vecteur d'attaque initial le plus populaire est la compromission des informations d'identification, représentant 20 % de toutes les attaques. Combinez ces chiffres avec ceux des États-Unis Ministère de la Santé et des Services Sociaux (HHS) rapporte que, en 2021, un nombre stupéfiant de 39 630 191 comptes ont été piratés en raison d'un « piratage informatique/incident informatique ». Si nous supposons que 20 % des plus de 39 millions de comptes en 2021 ont été piratés en raison d’informations d’identification compromises à 180 $ par compte, le coût est supérieur à 1,4 milliard de dollars.

La trajectoire de la criminalité liée aux violations de données médicales

Le graphique ci-dessus montre l'augmentation des violations de données signalées par le HHS de février 2021 à mars 2022. 

Une fois qu’une violation de données se produit, les mauvais acteurs se tourneront vers le dark web pour acheter ces informations d’identification compromises. Les acteurs malveillants consolident les violations de données dans des collections plus vastes, appelées « combolistes », afin que les attaquants puissent acheter une liste beaucoup plus longue d’informations d’identification compromises. « Collection #I » est en vente depuis 2019 et contient 773 millions d’adresses e-mail uniques avec les mots de passe correspondants.

Lors d'une attaque de bourrage d'informations d'identification, les mauvais acteurs achètent ces collections d'informations d'identification compromises, puis tentent à plusieurs reprises de « bourrer » la page de connexion sur de nombreux sites Web différents. En cas de succès, l’attaquant prend le contrôle du compte et l’utilise à des fins frauduleuses. Le taux de réussite d’une attaque de vol d’informations d’identification est généralement de 1 à 2 pour cent. S’ils testent 1 million d’identifiants compromis, les mauvais acteurs peuvent généralement accéder à 10 000 à 20 000 comptes. Une attaque de type « credential stuffing » réussit parce que les gens ont tendance à réutiliser et à recycler les mots de passe sur de nombreux comptes. Ainsi, ceux disponibles sur le dark web sont omniprésents pour plusieurs applications.

Le secteur de la santé commence également à voir des robots malveillants récupérer de plus en plus de contenu. Plus précisément, les robots récupèrent des informations sur les régimes d’assurance maladie, des explications sur les prestations (EOB) et des listes de médecins au sein des réseaux de prestataires. Les informations sur les plans de santé et les EOB peuvent être utilisées par les concurrents pour proposer des prix plus bas et des renseignements sur la concurrence. Les informations relatives aux médecins peuvent être utilisées dans le cadre de campagnes de phishing visant à collecter des paiements et d’autres informations médicales personnelles (PHI) auprès des patients.

Se protéger des attaques

Quelle est la meilleure façon de réduire le risque de violation de données et d’attaques de type credential stuffing ? Il n’existe pas de réponse unique, mais un bon point de départ est d’adopter une architecture zero-trust et d’identifier les mauvais acteurs qui abusent de vos applications Web.

Une architecture zéro confiance élimine l’idée d’un réseau de confiance à l’intérieur d’un périmètre défini. En d’autres termes, il s’agit d’un modèle de sécurité qui se concentre sur la vérification de chaque utilisateur et de chaque appareil, à l’intérieur et à l’extérieur du périmètre d’une organisation, avant d’accorder l’accès. L’approche Zero Trust est principalement axée sur la protection des données et des services, mais elle peut être étendue pour inclure tous les actifs de l’entreprise.

F5 s'appuie fortement sur la publication spéciale NIST 800-207 Zero Trust Architecture pour nos efforts autour de la confiance zéro, car elle fournit des modèles de déploiement généraux spécifiques à l'industrie et des cas d'utilisation où la confiance zéro peut améliorer la posture globale de sécurité des technologies de l'information d'une entreprise. Le document d'architecture décrit la confiance zéro pour les architectes de sécurité d'entreprise et aide à comprendre la confiance zéro pour les systèmes civils non classifiés. En outre, il propose une feuille de route pour la migration et le déploiement de concepts de sécurité Zero Trust dans un environnement d’entreprise.

 

Solutions pour lutter contre la cybercriminalité dans le secteur de la santé

F5 Distributed Cloud Bot Defense et Distributed Cloud Account Protection protègent les sites Web contre les abus commis par de mauvais acteurs. Toutes les attaques de vol d’identifiants que nous avons mentionnées plus tôt ? Ils proviennent tous de robots automatisés et malveillants. Les défenses traditionnelles, telles que le CAPTCHA et le géorepérage, sont facilement contournées par les mauvais acteurs d’aujourd’hui. Il existe même des services à louer qui permettent aux mauvais acteurs de vaincre tout type de CAPTCHA. L'un de ces sites, 2captcha.com, fournit une API permettant aux mauvais acteurs de contourner par programmation vos protections. 2Captcha résoudra les Captcha normaux, les Captcha texte, ClickCaptcha, Rotate Captcha, reCAPTCHA V2 & V3, reCAPTCHA Enterprise, FunCaptcha, TikTok Captcha, et plus encore.

Distributed Cloud Bot Defense protège les expériences d'application, les propriétés Web, les applications mobiles et les transactions de points de terminaison d'API contre les attaques de bots sophistiquées en collectant intelligemment un ensemble complet de signaux de couche réseau JavaScript et HTTP et de télémétrie de chaque transaction client, sans rediriger le trafic via un serveur proxy. La plateforme identifie les comportements d’automatisation des robots malveillants en appliquant plusieurs couches d’intelligence d’apprentissage automatique. Le système surveille, signale, détecte et identifie les attaques réorganisées et atténue les attaques automatisées en temps réel.

En raison de la grande quantité d’argent circulant dans le secteur de la santé aux États-Unis et à l’échelle mondiale, les mauvais acteurs ne s’arrêteront pas à l’automatisation. Si vous pouvez atténuer l’automatisation des mauvais acteurs, ils passeront aux attaques manuelles. La protection des comptes Cloud distribués aide les entreprises à identifier l’intention des visiteurs. Distributed Cloud Account Protection évalue chaque transaction en ligne à travers un ensemble de données de télémétrie, environnementales et biométriques comportementales, à partir de la première fois qu'un visiteur arrive sur une application Web ou mobile protégée, jusqu'à la création ou la connexion d'un compte, et en continuant à travers tous les aspects du parcours de l'utilisateur. 

Distributed Cloud Account Protection peut même connecter le contexte entre différents navigateurs et appareils exploités par le même utilisateur et exploiter les informations de son réseau mondial d'organisations pour déterminer avec précision l'intention de l'utilisateur. La protection des comptes cloud distribuée peut être utilisée soit comme un modèle en boucle fermée alimenté par un moteur de fraude IA qui fournit un score de haute fidélité pour comprendre l'intention des visiteurs, soit comme un outil permettant aux entreprises d'ingérer des données de protection des comptes dans leur propre moteur de risque et de les combiner avec d'autres points de données de fraude.

Le coût des violations de données et des attaques de vol d’identifiants augmente régulièrement dans le secteur de la santé. Pourquoi? De l’argent, et beaucoup d’argent. Les entreprises peuvent contribuer à atténuer ce risque en adoptant des architectures Zero Trust et en arrêtant les attaques de bourrage d’informations d’identification à l’aide de F5 Distributed Cloud Bot Defense et de Account Protection.