Un récit édifiant : ce que l'étude de cas sur la santé et les soins avancés nous apprend sur la cyber-résilience

Un récit édifiant : ce que l'étude de cas sur les soins de santé avancés nous apprend sur la cyber-résilience

Par Phil Muncaster • 8 mai 2025

Fin mars, Advanced Computer Software Group a été condamné à une amende d'un peu plus de 3 millions de livres sterling par l'autorité britannique de protection des données. De multiples failles de sécurité chez le fournisseur de services informatiques ont entraîné la compromission des données personnelles de près de 80,000 XNUMX personnes et mis en danger la sécurité physique des personnes vulnérables.

La filiale en question, Advanced Health and Care (AHC), aurait dû être plus avisée. Mais ses manquements ne sont pas rares. Elle a simplement eu la malchance d'être découverte après que des acteurs du ransomware ont ciblé le fournisseur du NHS. La question est de savoir comment d'autres organisations peuvent éviter le même sort. Heureusement, de nombreuses réponses se trouvent dans l'avis de sanction détaillé récemment publié par le Bureau du Commissaire à l'information (ICO).

Qu'est ce qui ne s'est pas bien passé?

AHC propose divers services essentiels aux clients du secteur de la santé, notamment au service national de santé (NSS), notamment des logiciels de gestion des patients, des dossiers médicaux électroniques, des outils d'aide à la décision clinique, de planification des soins et de gestion des effectifs. L'AHC soutient également le service NHS 111 pour les conseils médicaux urgents.

Bien que certaines informations contenues dans l'avis de pénalité de l'ICO aient été expurgées, nous pouvons reconstituer une chronologie approximative de l'attaque par ransomware.

Le 2 août 2022, un pirate s'est connecté au système Staffplan d'AHC via un compte Citrix en utilisant une combinaison mot de passe/nom d'utilisateur compromise. On ignore comment ces identifiants ont été obtenus.
Une fois à l'intérieur, ils ont exécuté un fichier pour exploiter le « ZeroLogon » vieux de deux ans vulnérabilité qui n'avait pas été corrigé. Cela leur a permis d'élever leurs privilèges jusqu'à un compte d'administrateur de domaine.
L'acteur malveillant a ensuite utilisé ces privilèges pour se déplacer latéralement entre les domaines, désactiver la protection antivirus et effectuer des reconnaissances supplémentaires. Il a également accédé aux services de stockage cloud et d'hébergement de fichiers d'AHC et téléchargé des « utilitaires de gestion d'infrastructure » pour permettre l'exfiltration de données.
Les adversaires ont déployé des ransomwares sur 395 points de terminaison et exfiltré 19 Go de données, forçant Advanced à mettre hors ligne neuf offres logicielles clés, dont trois par mesure de précaution.

Les principales failles de sécurité

Les trois principales failles de sécurité mises au jour par l’enquête de l’ICO sont les suivantes :

Analyse de vulnérabilité : L'ICO n'a trouvé aucune preuve qu'AHC effectuait régulièrement des analyses de vulnérabilité, comme elle aurait dû le faire compte tenu de la sensibilité des services et des données qu'elle gérait et du fait que le secteur de la santé est classé comme infrastructure nationale critique (INC) par le gouvernement. L'entreprise avait déjà acquis des outils d'analyse de vulnérabilité, d'analyse d'applications web et de conformité aux politiques, mais n'avait effectué que deux analyses au moment de la violation.

L'AHC a bien effectué des tests d'intrusion, mais n'a pas donné suite aux résultats, les acteurs malveillants ayant ensuite exploité les vulnérabilités révélées par ces tests, a indiqué l'ICO. Conformément au RGPD, l'ICO a estimé que ces éléments prouvaient qu'AHC n'avait pas « mis en œuvre les mesures techniques et organisationnelles appropriées pour garantir la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement ».

Gestion des correctifs: AHC a corrigé ZeroLogon, mais pas sur tous les systèmes, car elle ne disposait pas d'un processus de validation des correctifs mature. En fait, l'entreprise n'a même pas pu vérifier si le bug avait été corrigé sur le serveur concerné, faute d'archives précises.

Gestion des risques (MFA) : Aucune authentification multifacteur (MFA) n'était en place dans l'environnement Staffplan Citrix. Dans l'ensemble de l'environnement AHC, les utilisateurs ne disposaient de l'authentification multifacteur que pour se connecter à deux applications (Adastra et Carenotes). L'entreprise disposait d'une solution MFA, testée en 2021, mais ne l'avait pas déployée en raison du projet de remplacement de certains produits existants auxquels Citrix donnait accès. L'ICO a indiqué qu'AHC avait cité la réticence des clients à adopter cette solution comme un autre obstacle.

Quel a été l’impact ?

Il y a une raison pour laquelle l'ICO a imposé une amende aussi lourde, qui a été réduite de 6.1 millions de livres sterling après le « contact proactif » d'Advanced avec les autorités et son accord sur un règlement à l'amiable. En résumé, la violation a mis en péril la sécurité numérique et physique de nombreuses personnes concernées innocentes et a mis hors service des services clés pendant des semaines. Plus précisément :

Les acteurs malveillants ont exfiltré des données sur 79,404 XNUMX personnes, dont près de la moitié présentaient des données de catégories particulières. Ces données comprenaient des dossiers médicaux, des numéros d'assurance nationale, des informations sur les croyances religieuses, l'emploi et des données démographiques.
Ces données de catégorie spéciale comprenaient des détails sur la manière d’accéder aux domiciles de 890 personnes concernées qui recevaient des soins à domicile.
Une panne de service ultérieure a touché 658 clients, dont le NHS, certains services étant restés indisponibles pendant une période allant jusqu'à 284 jours. Selon une source largement répandue rapports à l'époque, le service essentiel du NHS 111 a été gravement perturbé et les cabinets de médecins généralistes ont été contraints d'utiliser un stylo et du papier.

Éviter le même sort

« La décision d'aujourd'hui rappelle brutalement que les organisations risquent de devenir la prochaine cible sans mesures de sécurité robustes », a déclaré le commissaire à l'information John Edwards lors de l'annonce de l'amende. Alors, qu'est-ce qui est considéré comme « robuste » selon l'ICO ? L'avis de sanction cite les conseils du NCSC, Cyber Essentials et la norme ISO 27002, cette dernière fournissant des orientations essentielles pour la mise en œuvre des contrôles requis par la norme ISO 27001.

Plus précisément, elle cite la norme ISO 27002:2017 qui stipule que : « les informations sur les vulnérabilités techniques des systèmes d'information utilisés doivent être obtenues en temps opportun, l'exposition de l'organisation à ces vulnérabilités doit être évaluée et des mesures appropriées doivent être prises pour faire face au risque associé. »

Le NCSC recommande des analyses de vulnérabilité au moins une fois par mois, ce qu'Advanced a apparemment fait dans son environnement d'entreprise. L'ICO a également tenu à souligner que les tests d'intrusion seuls ne suffisent pas, surtout lorsqu'ils sont effectués de manière ponctuelle comme AHC.

De plus, la norme ISO 27001:2022 recommande explicitement l'AMF dans sa Annexe A pour obtenir une authentification sécurisée, en fonction du « type et de la sensibilité des données et du réseau ».

Tout cela montre que la norme ISO 27001 constitue un bon point de départ pour les organisations souhaitant rassurer les régulateurs sur la priorité accordée aux intérêts de leurs clients et la sécurité dès la conception comme principe directeur. En réalité, elle va bien au-delà des trois domaines évoqués ci-dessus, qui ont conduit à la violation de l'AHC.

Surtout, elle permet aux entreprises de se passer de mesures ponctuelles et d'adopter une approche systémique de la gestion des risques liés à la sécurité de l'information à tous les niveaux. C'est une bonne nouvelle pour toute organisation souhaitant éviter de devenir elle-même la prochaine avancée ou de faire appel à un fournisseur comme AHC dont la sécurité est insuffisante. aide à établir des obligations claires en matière de sécurité de l’information pour atténuer les risques de la chaîne d’approvisionnement.

Dans un monde où les risques et la chaîne d’approvisionnement sont de plus en plus complexes, cela pourrait s’avérer inestimable.

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 6 Janvier 2026

Cinq tendances en matière de sécurité et de conformité à surveiller en 2026

À quoi ressembleront les 12 prochains mois pour les professionnels de la cybersécurité et de la conformité ? Nous avons passé au crible l’actualité et analysé les prévisions du secteur…

Phil Muncaster

La cyber-sécurité 11 December 2025

Une faille de sécurité liée à l'IA agentique est-elle inévitable en 2026 ?

Trois ans se sont peut-être écoulés depuis le lancement de ChatGPT, qui a donné le coup d'envoi à une nouvelle course technologique, mais tous les regards sont désormais tournés vers l'IA agentive. Ses partisans affirment qu'elle...

Phil Muncaster

Sécurité de l'Information 9 December 2025

Une année de conformité : cinq leçons apprises en 2025

Une année de conformité : cinq leçons tirées de 2025

Ces douze derniers mois ont une fois de plus démontré que le paysage de la cybersécurité est rarement à l'abri des incidents. Les failles de sécurité majeures coûtent cher aux organisations…

Phil Muncaster