BLOG

Ransomware dans le secteur de la santé : Le vecteur de menace application

Byron McNaught Miniature
Byron McNaught
Publié le 13 juin 2025

Le secteur de la santé reste une cible privilégiée pour les attaquants, car il est confronté à une courbe croissante d’incidents de sécurité et à des délais de récupération lents. Les budgets serrés et les efforts complexes de modernisation des infrastructures entraînent inévitablement des lacunes en matière de cybersécurité. Alors que les ransomwares ciblent tous les secteurs d’activité, dans le secteur de la santé, les menaces sont de plus en plus motivées par des attaques au niveau des applications, notamment par l’exploitation de vulnérabilités et la compromission d’informations d’identification.

Le respect des obligations de conformité telles que la loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA), la loi sur les technologies de l'information sur la santé pour la santé économique et clinique (HITECH) et la norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS) sont des impératifs commerciaux, mais la protection des informations personnelles sur la santé (PHI) est primordiale pour maintenir la compétitivité et la confiance des clients dans un secteur en évolution rapide.

Dans cet article de blog, nous explorons comment les organisations de soins de santé parviennent à trouver un équilibre de plus en plus difficile entre la fourniture d'expériences personnalisées aux patients et aux prestataires (désormais améliorées par l'IA) et la défense contre les menaces de sécurité toujours croissantes des ransomwares qui ciblent les applications et les API qui les connectent.

Les applications, les API et l'IA sont essentielles aux soins des patients.

La commodité de l’accès en ligne aux portails des patients via les systèmes de dossiers médicaux électroniques (DME) et la possibilité d’effectuer des paiements en ligne sont des enjeux majeurs.

Cela n’est pas passé inaperçu auprès des mauvais acteurs. Comme décrit dans un article de Healthcare IT News , Silk Typhoon est une organisation de piratage parrainée par l'État chinois qui cible divers secteurs, notamment les soins de santé et les hôpitaux. Les acteurs de la menace ont perturbé les chaînes d’approvisionnement et ont représenté des menaces importantes pour les infrastructures critiques en exploitant les vulnérabilités des applications cloud pour obtenir un accès non autorisé aux données sensibles.

Selon les prévisions de Forrester, la moitié des 10 plus grands assureurs santé américains utiliseront l’IA pour renforcer la défense des intérêts de leurs membres. Epic, pionnier dans ce domaine, constate qu'un patient sur quatre serait inquiet si son système de santé n'utilisait pas l'IA. Étant donné que les écosystèmes d'IA sont connectés via des API et que leurs chaînes d'approvisionnement logicielles sous-jacentes incluent des composants qui s'étendent à des environnements hybrides et multicloud, l'IA augmentera les risques d'exposition et les incidents de piratage de sécurité, tels que l'exploitation de vulnérabilités et l'abus de logique métier par des robots et des automatisations malveillantes. Ces mêmes risques s’appliquent aux interfaces de traitement du langage naturel (TALN) exposées aux patients et aux prestataires pour améliorer l’expérience client et rationaliser les soins grâce à l’IA générative.

Les obligations de conformité commencent à avoir du mordant.

Les organisations de santé américaines se retrouvent rapidement dans une position de risque intenable. Malgré une augmentation de 239 % des violations liées au piratage informatique depuis 2018 , seulement 42 % prévoient de maintenir, et certains pourraient même diminuer, les investissements dans les technologies qui améliorent la cybersécurité et protègent la vie privée. Cet écart existe malgré les sonnettes d’alarme tirées par les agences de renseignement et les associations industrielles concernant les menaces imminentes pesant sur les données relatives aux soins des patients. Alors que les mandats HITECH et PCI-DSS renforcent la responsabilité d’une sécurité adéquate, le secteur de la santé doit comprendre que le simple respect des exigences de conformité n’est plus suffisant.

Les rançongiciels sont alimentés par des attaques d'applications.

En 2024, les vecteurs d’attaque les plus courants dans les attaques de ransomware dans le secteur de la santé étaient les vulnérabilités exploitées et les informations d’identification compromises , et la récupération prend plus de temps en raison de la complexité et de la gravité accrues des attaques. À titre d’exemple , une série d’attaques en milieu sauvage qui exploitent une vulnérabilité application et exécutent du code arbitraire sans authentification sont en cours depuis janvier, les acteurs de la menace ciblant les bugs pour déployer des shells Web qui sont ensuite utilisés à mauvais escient pour des activités de suivi.

Outre les vulnérabilités, la logique métier exposée par les applications et les API est intrinsèquement vulnérable aux abus des robots. Selon F5 Labs , les robots persistants avancés ciblant les flux de connexion sont les plus répandus dans le secteur de la santé. Par exemple, le déclin de la société de tests génétiques 23andMe a été en partie attribué à une campagne de « credential stuffing » qui a exposé les informations sur la santé et l’ascendance des clients. Étant donné que les robots utilisent des informations d’identification légitimes et n’essaient pas d’exploiter les vulnérabilités logicielles, ils peuvent ne pas déclencher d’alarme de sécurité. L'authentification multifacteur (MFA) peut aider à prévenir le credential stuffing , mais en raison de l'augmentation des proxys de phishing en temps réel (RTPP), elle n'est pas infaillible .

Une nouvelle base de référence s'impose.

La bonne nouvelle est que le secteur de la sécurité est déjà en avance sur son temps. Depuis des années, les organisations optimisent leurs capacités d'inspection de sécurité grâce à une gestion dynamique et basée sur des politiques du trafic SSL/TLS afin de maximiser les investissements, de rationaliser les politiques et de détecter les ransomwares au sein de l'infrastructure et des applications à l'aide d'une approche de défense en profondeur.

Les plates-formes de protection des applications Web et des API renforcent davantage les défenses de sécurité des application contre les ransomwares. Les contrôles intégrés peuvent atténuer les exploits de vulnérabilité et protéger la logique métier contre les abus (pour les applications Web, API et IA) dans plusieurs environnements, notamment les navigateurs clients, les appareils mobiles, les clouds, les nouvelles interfaces interactives et le cycle de vie du développement logiciel.

Les solutions F5 pour les soins de santé aident les organisations à aplatir la courbe, en respectant les mandats de conformité et en atténuant l'exposition des données des patients et des prestataires en contrecarrant les ransomwares pour n'importe quelle application, n'importe quelle API, n'importe où.

Pour plus d'informations, consultez notre page Web Protection des application Web et des API .