Dans le domaine de la santé, la cybersécurité peut littéralement faire la différence entre la vie et la mort. Pour coordonner les soins aux patients, fournir les bons dossiers médicaux électroniques au personnel médical approprié ou protéger les informations sensibles, les hôpitaux, les laboratoires et les autres prestataires de soins de santé doivent rester en ligne, connectés et sécurisés.
C'est la raison pour laquelle le nouveau programme du National Health Service (NHS) exigence que toutes les entités mettent en œuvre l'authentification multifactorielle (AMF) est une étape importante. Je ne dis pas cela seulement au nom de la RSA : c'est personnel. Je suis originaire du Royaume-Uni et j'y ai encore de la famille. En mettant en œuvre l'AMF, le NHS continuera à assurer la sécurité des informations de santé très sensibles de ses patients (y compris celles de ma famille).
Une politique d'AMF décrit les règles et les exigences relatives à la mise en œuvre de l'authentification multifactorielle au sein d'une organisation ou d'un système. L'objectif est de s'assurer que seuls les utilisateurs autorisés peuvent accéder aux systèmes ou aux données, réduisant ainsi le risque d'accès non autorisé, de violations de données et de cyberattaques. Une politique d'AFM bien définie précise quels utilisateurs doivent s'authentifier par le biais de facteurs multiples, les méthodes d'authentification à utiliser et les circonstances dans lesquelles l'AFM sera requise, par exemple pour accéder à des données sensibles ou effectuer des actions à haut risque. La politique comprend également des lignes directrices sur la conformité, l'application et les mises à jour régulières pour s'adapter aux nouvelles menaces de sécurité.
Si cette politique est propre au NHS, elle s'inscrit également dans une tendance mondiale plus large. La nouvelle exigence du NHS fait suite aux mandats américains visant à améliorer la cybersécurité de la nation. De même, le NIS2 de l'Union européenne vise à établir un "niveau commun élevé de cybersécurité" dans tous les États membres. Des incidents tels que Log4j, la guerre en Ukraine, et les cyberattaques parrainées par des États ont mis la cybersécurité au premier plan dans le monde entier : il n'a jamais été aussi important pour toutes les organisations de se concentrer sur le renforcement de leurs défenses. C'est particulièrement vrai pour les soins de santé, et c'est pourquoi je trouve très encourageant que le NHS prenne la cybersécurité au sérieux.
Mais pour un système aussi vaste et complexe que le NHS, la mise en œuvre de l'authentification multifactorielle à temps pour respecter la date limite de février 2024 pour démontrer les plans de mise en œuvre, ou la date limite de juin 2024 pour une conformité totale, nécessitera un travail réel. Voyons donc pourquoi l'AMF est importante en matière de cybersécurité, examinons les exigences de la politique d'AMF du NHS et discutons des capacités que les trusts du NHS, les conseils de soins intégrés, les organismes indépendants du ministère de la santé et des soins sociaux et les autres prestataires de soins de santé devraient privilégier.
L'authentification multifactorielle constitue un niveau de sécurité supplémentaire qui permet de s'assurer que l'utilisateur est bien celui qu'il prétend être. Plutôt que d'exiger uniquement une adresse électronique et un mot de passe, l'AMF exige que les utilisateurs fournissent un facteur supplémentaire - comme la saisie d'un code de vérification, la réponse à une notification push, l'utilisation d'une clé de sécurité ou la fourniture d'informations biométriques - pour se connecter.
L'ajout d'une couche supplémentaire de sécurité peut avoir un impact considérable. La fourniture d'un mot de passe et d'une adresse électronique ne suffit pas à empêcher la plupart des violations de données. Rapport 2023 de Verizon sur les enquêtes relatives aux violations de données a révélé que 74% de toutes les violations impliquent soit "une erreur, un abus de privilèges, l'utilisation d'informations d'identification volées ou l'ingénierie sociale". Le rapport indique également que le vol d'informations d'identification est devenu le point d'entrée le plus populaire pour les brèches" au cours des cinq dernières années.
Et ce n'est pas seulement que davantage de violations commencent par des mots de passe compromis, c'est aussi que ces violations ont tendance à avoir un impact plus important. Les Rapport d'IBM sur le coût d'une violation de données 2023 a constaté qu'il fallait en moyenne 308 jours pour détecter et endiguer les violations ayant débuté par le vol ou la compromission d'informations d'identification, ce qui en fait l'un des vecteurs d'attaque initiaux les plus fréquents, les plus durables et les plus coûteux.
La mise en œuvre d'une politique d'authentification multifactorielle (AMF) solide est essentielle pour protéger de manière proactive les informations sensibles. Les cybermenaces devenant de plus en plus sophistiquées, il n'est plus suffisant de se fier uniquement aux mots de passe pour l'authentification. Une politique complète d'AMF exige des utilisateurs qu'ils vérifient leur identité à l'aide de plusieurs facteurs, ce qui réduit considérablement la probabilité d'un accès non autorisé, même si les informations d'identification sont compromises. En appliquant l'AMF à tous les points d'accès, les entreprises renforcent non seulement leur posture de sécurité, mais s'alignent également sur les meilleures pratiques et les exigences de conformité, assurant ainsi une protection solide contre les cybermenaces en constante évolution et minimisant l'impact des violations potentielles.
Je recommanderais aux médecins généralistes, aux hôpitaux et aux laboratoires d'utiliser la politique d'AMF du NHS comme un moyen de faire face à la menace très réelle des cyberattaques, et de ne pas la considérer comme une autre mesure "à cocher" qu'ils doivent remplir. Car les systèmes numériques du NHS sont déjà attaqués :
- En 2023, une société de cybersécurité a constaté que "millions des dispositifs médicaux dans les hôpitaux du NHS Trust sont... entièrement ouverts aux attaques de ransomware par des gangs de cybercriminels".
- Toujours en 2023, le syndicat de ransomware BlackCat / ALPHV se serait emparé de 7 téraoctets de données sur les patientsde Barts Health NHS Trust, l'un des plus grands groupes hospitaliers du Royaume-Uni
- Au cours de la même période, la Université de Manchester a annoncé que "les données du NHS de plus d'un million de patients ont été compromises"
- En 2022, Advanced, fournisseur informatique du NHS, a annoncé qu'il lui faudrait "trois à quatre semaines pour se rétablir complètement" après avoir été touché par une attaque informatique. attaque par ransomware, Cette attaque a contraint le personnel médical à prendre des notes "au stylo et au papier" pendant des semaines, ce qui a créé des "problèmes de santé".six mois pour le traitement et la saisie"l'arriéré manuel
- Les Centre national de cybersécurité (NCSC) a noté que des acteurs parrainés par l'État "ont ciblé... le NHS au plus fort de la pandémie"
Je pourrais continuer. Qu'il s'agisse d'attaques par ransomware, d'attaques par compromission de compte, d'ingénierie sociale ou de simple hameçonnage, les cybercriminels tentent de mettre la main sur les comptes des utilisateurs et les données des patients, ou de perturber les opérations au point de contraindre les hôpitaux à payer. Car la vie des gens est vraiment en jeu : en 2020, des acteurs de la menace ont désactivé les systèmes de l'hôpital universitaire de Düsseldorf, en Allemagne. Au cours de l'attaque, les médecins ont tenté de transférer un patient dans un autre hôpital pour qu'il y reçoive des soins. Le patient est décédé pendant le transfert, marquant "le premier cas connu de perte de vie"à la suite d'une attaque par ransomware.
La RSA travaille avec le secteur de la santé depuis des décennies. Cette année, nous avons publié de nouvelles capacités Nous comprenons que la sécurisation des systèmes médicaux exige des organisations qu'elles respectent les exigences de conformité et qu'elles se renforcent contre les cyberattaques.
Je pense que la politique d'AMF du NHS England fait du bon travail en donnant la priorité à un objectif réalisable : la mise en place de l'authentification multifactorielle est un enjeu de cybersécurité, et la directive de la politique selon laquelle l'AMF doit "être appliquée à tous les accès d'utilisateurs distants à tous les systèmes" et "être appliquée à tous les accès d'utilisateurs privilégiés à des systèmes hébergés en externe" contribuera à sécuriser un nombre important d'utilisateurs et de cas d'utilisation à haut risque.
La nécessité d'une mise en œuvre plus large de l'AMF
Cela dit, je pense que le mandat devrait aller plus loin et s'étendre à tous les utilisateurs. Le NHS définit un "utilisateur privilégié" comme "un administrateur de système ou ayant des fonctions liées à la sécurité". Je suppose que leur intention de sécuriser les administrateurs en premier lieu est d'empêcher que leurs comptes soient compromis et de mettre en œuvre des changements de sécurité à l'échelle du système.
Si c'est le cas, il s'agit d'une première étape raisonnable, à condition qu'elle ne soit pas la dernière. S'arrêter à l'accès des utilisateurs privilégiés aux systèmes externes ou aux utilisateurs distants laisse encore beaucoup trop de confiance dans le système. Les cybercriminels sont très doués pour trouver les lacunes d'un système de sécurité et les exploiter à leur plein avantage - et laisser l'AMF hors de portée de tous les utilisateurs qui n'ont pas de fonctions liées à la sécurité ou des utilisateurs internes est une très grande lacune.
Comprendre le risque d'attaques internes
Les organisations ont tendance à axer la plupart de leurs défenses sur les comptes de grande valeur et à se préparer à se défendre contre les attaques externes ; cette façon de penser ne tient pas compte du fait que de nombreuses attaques progressent en interne après avoir compromis un compte de niveau inférieur. Très peu d'attaques commencent par la compromission d'informations d'identification administratives.
Au lieu de cela, les attaquants "utilisent une variété d'outils pour traverser votre environnement et ensuite pivoter, y compris en utilisant le phishing et des informations d'identification volées pour obtenir l'accès et en ajoutant des portes dérobées pour maintenir cet accès et tirer parti des vulnérabilités pour se déplacer".
latéralement", selon le rapport Verizon 2023 Data Breach Investigations Report. Alors que les attaquants tentent de remonter progressivement vers le haut et d'escalader leurs privilèges au fur et à mesure, ils commencent par compromettre les comptes de niveau inférieur et moins sûrs.
Inconvénients de la politique d'AMF
En outre, si l'AMF est essentielle, elle n'est pas une solution miracle. Les organisations doivent se rapprocher de l confiance zéro et faire de la sécurité un élément essentiel de chaque processus d'entreprise. Prenons l'exemple du groupe de pirates BlackCat / ALPHV qui s'est introduit dans le Barts Health Trust : cet automne, ce même groupe a réussi à échapper à l'AMF en faisant de l'ingénierie sociale dans le service d'assistance informatique du Caesars Entertainment Group à Las Vegas, ce qui aurait conduit à une attaque de la part de l'entreprise, qui s'est révélée être un échec. $15 millions paiement de la rançon.
Ne vous méprenez pas : la politique d'authentification multifactorielle du NHS England a beaucoup à offrir. Par exemple, l'utilisation de normes industrielles : si les bureaux du NHS choisissent de mettre en œuvre l'authentification biométrique, la politique recommande d'examiner les éléments suivants NIST SP 800-63B s5.2.3 et NCSC "Systèmes de reconnaissance et d'authentification biométriques".. Ces documents sont extrêmement utiles - en s'y référant, le personnel du NHS peut intégrer les meilleures pratiques dans le déploiement de l'AMF.
Les Guide politique de l'AMF du NHS England privilégie également le pragmatisme et la flexibilité, en précisant que "toutes les approches techniques de l'AMF sont actuellement autorisées" et que les organisations ne devraient pas essayer de trouver une solution "idéale" : Les organisations ne doivent pas essayer de trouver une solution "idéale", mais plutôt mettre en œuvre ce qui est faisable et l'améliorer au fil du temps. Le NHS précise que les organisations "doivent choisir un facteur - ou plus vraisemblablement plusieurs facteurs - en fonction des circonstances propres à leurs organisations et à leurs utilisateurs".
Cette approche, qui consiste à ne pas laisser le parfait être l'ennemi du bien et à améliorer l'AMF au fil du temps, est excellente. Il est plus que probable que les organisations des SSN devront prendre en charge plusieurs groupes d'utilisateurs travaillant dans plusieurs environnements. De plus, ils auront besoin d'une politique d'AMF capable de s'adapter à de nouveaux groupes d'utilisateurs et à de nouveaux environnements au fur et à mesure de l'évolution des besoins de l'organisation.
Pour ce faire, il est essentiel que le NHS donne la priorité aux solutions qui prennent en charge une gamme de méthodes MFA aujourd'hui, et qui sont construites pour s'étendre aux environnements sur site, multi-cloud et hybrides. Le personnel du NHS peut essayer ID Plus pendant 45 jours pour voir ces capacités à l'œuvre.
