2025-03-21 14:50:00
Photo : Weiquan Lin/Getty Images
Une vulnérabilité récemment mise en lumière dans ChatGPT se trouve exploitée par des cybercriminels pour cibler des failles de sécurité au sein des systèmes d’intelligence artificielle, affectant particulièrement le secteur de la santé. Un rapport de Veriti souligne que 35 % des organisations examinées ne disposent d’aucune protection adéquate, essentiellement en raison de mauvaises configurations de leurs systèmes de prévention d’intrusion (IPS), de pare-feu d’application web (WAF), et de pare-feu.
Malgré une classification de sévérité « moyenne », cette vulnérabilité est déjà utilisée dans des attaques sur le terrain. Les auteurs du rapport mettent en garde en déclarant que « aucune vulnérabilité n’est trop insignifiante pour être négligée » et que « les attaquants exploitent toute faiblesse qu’ils peuvent trouver ».
Conséquences des cyberattaques sur le secteur de la santé
Les résultats de l’enquête révèlent qu’au cours d’une seule semaine, plus de 10 000 tentatives de cyberattaques ont été recensées contre divers organismes. Les vulnérabilités de sévérité moyenne continuent de représenter un risque majeur. Les équipes de sécurité se concentrent souvent uniquement sur les failles critiques et de haute importance, laissant ainsi des portes ouvertes pour les attaquants, qui n’hésitent pas à exploiter tout ce qui fonctionne. Une vulnérabilité initialement considérée comme mineure peut rapidement devenir une cible privilégiée.
L’American Hospital Association (AHA) a tiré la sonnette d’alarme concernant l’impact potentiel de ces cyberattaques, qui pourraient engendrer des violations de données, des transactions non autorisées, des sanctions réglementaires et des dommages à la réputation des établissements de santé. Scott Gee, conseiller national adjoint de l’AHA pour la cybersécurité, a souligné l’importance d’intégrer la gestion des correctifs dans un plan de gouvernance global pour les systèmes d’IA dans les hôpitaux. Il fait également remarquer qu’une vulnérabilité connue depuis un an, accompagnée d’un exemple d’exploitation publié, souligne la nécessité d’un correctif rapide des logiciels.
Recommendations pour la protection des systèmes
Veriti recommande aux équipes de sécurité de vérifier leurs configurations d’IPS, de WAF et de pare-feu pour se prémunir contre la vulnérabilité CVE-2024-27564, de surveiller les journaux à la recherche de tentatives d’attaques provenant d’adresses IP reconnues comme malveillantes, et de prioriser les lacunes de sécurité liées à l’IA lors des évaluations des risques.
Un panorama inquiétant des cyberattaques
Le secteur de la santé a déjà subi plusieurs cyberattaques importantes ces dernières années. L’une des plus marquantes a eu lieu en 2024, ciblant Change Healthcare, et a compromis les informations de santé protégées d’au moins 100 millions de personnes, représentant ainsi un tiers de la population américaine. Cet incident est désormais considéré comme la plus grande violation de données jamais enregistrée au sein d’une entité réglementée par HIPAA, surpassant le précédent record de 2015 établi par Anthem, qui touchait environ 78,8 millions d’individus.
Un rapport de KnowBe4 publié en juin 2024 a révélé que le secteur de la santé a enregistré en moyenne 1 613 cyberattaques par semaine au cours des trois premiers trimestres de 2023, soit près de quatre fois la moyenne mondiale, marquant une hausse significative par rapport à l’année précédente. Cette augmentation rapide des cyberattaques a contribué à une forte élévation des coûts associés aux violations de données, l’impact financier moyen par violation atteignant près de 11 millions de dollars, soit plus de trois fois la moyenne mondiale. Ainsi, le secteur de la santé se positionne comme le plus touché en matière de cyberattaques.
Les attaques par ransomware dominent cette période, représentant plus de 70 % des cyberattaques réussies sur les établissements de santé durant les deux dernières années.
Jeff Lagasse est rédacteur en chef de Healthcare Finance News.
Email: jlagasse@himss.org
Healthcare Finance News est une publication de HIMSS.