Le 3 décembre dernier, PricewaterhouseCoopers Ireland (PwC) a publié son rapport indépendant sur l’importante cyberattaque qu’a subie le réseau de la santé irlandais en 2021 (en anglais).
Dans le présent article, nous discutons de cette attaque, des conclusions du rapport et des leçons à en tirer en contexte canadien, et proposons six questions qui aideront les organisations à se préparer à de telles attaques.
Contexte
L’attaque et ses conséquences
En mai 2021, des acteurs malveillants affiliés au réseau Conti (« Conti ») ont lancé une attaque par rançongiciel contre le réseau national de la santé de l’Irlande, le Health Service Executive (« HSE »).
Conti a fourni une clé de décryptage au HSE (sans que ce dernier ait à payer de rançon) peu de temps après, mais la reprise fut tout de même longue et ardue. La moitié du réseau est redevenue fonctionnelle peu après la mi-juin, mais la reprise s’est étalée jusqu’à la mi-septembre.
Cette attaque a causé des interruptions de service à l’échelle du pays : le HSE a dû reporter des traitements, avoir recours à des établissements privés et revenir aux dossiers papier. Ces contraintes ont posé d’importants risques pour la santé des patients. Les employés, déjà épuisés par la pandémie, ont dû composer avec des retards dans le traitement de la paie.
Un réseau vulnérable
Comptant environ 130 000 employés, le HSE fournit des soins de santé et des services sociaux aux 5 millions de personnes qui habitent l’Irlande. Au moment où l’attaque a eu lieu, son réseau informatique comprenait 4 500 serveurs, 70 000 appareils destinés aux utilisateurs finaux et plus de 1 000 applications, le tout réparti dans 4 000 emplacements.
Pour offrir ses services, le HSE a tissé un réseau complexe de relations avec des organisations de santé communautaire, des regroupements d’hôpitaux et des hôpitaux « bénévoles », ces derniers n’étant pas régis par le HSE. Les tiers qui avaient accès au réseau du HSE étaient ceux avec lesquels celui-ci entretenait, selon les termes employés par PwC, « une relation de confiance bidirectionnelle », par opposition, présumément, à une relation où le HSE détenait le contrôle.
Le HSE a recensé ses risques de cybersécurité au début 2021. Il a jugé que son niveau de maturité était faible et que son réseau était « fragile » : il était relativement peu segmenté, étant le fruit d’une évolution axée sur les services et la fonctionnalité plutôt que sur la sécurité et la résilience. De plus, il était encombré par de vieilles technologies.
La taille de l’équipe posait aussi problème : le HSE comptait seulement 350 employés des TI, dont 15 à peine occupaient un poste lié à la cybersécurité. Ces derniers provenaient majoritairement des autres services de TI et, aux dires de PwC, manquaient d’expertise en cybersécurité.
Déroulement de l’attaque
À la mi-mars, un utilisateur a cliqué sur un document Excel malveillant envoyé en pièce jointe dans un courriel d’hameçonnage. L’auteur de l’attaque a ensuite déployé des outils de piratage connus sur le poste de travail de l’utilisateur, ce qui lui a ouvert l’accès au réseau. L’antivirus du HSE a détecté l’attaque à la fin mars, mais comme il n’était réglé que pour observer la situation, il n’a pas bloqué les commandes malveillantes.
Il semble que ces pirates aient vendu à Conti l’accès obtenu, qui a accédé au réseau le 7 mai. Conti a alors commencé à élargir son emprise sur le réseau en exploitant une faille connue, mais non corrigée.
Diverses entités du HSE ont observé des signes de l’intrusion entre le 7 et le 14 mai, jour où Conti a déployé son rançongiciel. Un hôpital indépendant et le ministère de la Santé ont détecté ces signaux d’alerte et sont parvenus à bloquer le déploiement du rançongiciel en réinitialisant les mots de passe, en reconfigurant les pare-feu et en utilisant des outils de sécurité et de protection. Le HSE dans son ensemble n’a pas pu réagir à temps, en partie parce qu’il a cru que l’attaque émanait de l’hôpital indépendant. PwC attribue cet échec à la taille de l’équipe de cybersécurité du HSE et à son manque d’expertise.
La reprise
Le HSE ne s’était doté d’aucun plan pour réagir à une telle attaque. PwC estime que la situation a été aggravée par les lacunes suivantes :
- Aucun plan d’intervention ou de marche à suivre en cas de cyberattaque n’avait été élaboré.
- Il n’y avait pas d’outils de sécurité en place pour enquêter sur les alertes de sécurité et y remédier.
- Il n’existait pas de liste centralisée des coordonnées de l’ensemble du personnel du HSE, ni de registre des actifs.
- Aucune copie de sauvegarde hors ligne des éléments et documents de sécurité informatique essentiels n’avait été faite.
- Il n’existait pas de liste de priorités pour la remise en service des applications et des systèmes, et, en particulier, il n’y avait pas d’information sur les interdépendances des diverses technologies.
- Il n’y avait pas de système de communication indépendant désigné, configuré et éprouvé.
Le HSE a donc dû consacrer une partie de ses efforts de reprise à la collecte d’information sur son propre réseau, et les priorités devaient continuellement être ajustées en cours de route. Le manque de documentation et de ressources a énormément nui au personnel et créé des goulots d’étranglement qui ont ralenti la reprise.
La réponse juridique manquait aussi de coordination : un hôpital indépendant, dont les données avaient été publiées sur le Web profond avec celles du HSE, a décidé d’aviser les personnes affectées par cette fuite, tandis que le HSE, qui estimait que les risques d’atteinte à la confidentialité étaient faibles, a jugé que cela n’en valait pas la peine.
Conclusions et recommandations de PwC
Le rapport de PwC, long d’une centaine de pages, comprend plusieurs recommandations s’articulant autour du thème de la transformation. PwC a émis quatre recommandations stratégiques :
1. Instaurer une meilleure structure de gouvernance pour chapeauter les TI et la cybersécurité afin de mettre en place les mécanismes de surveillance appropriés. PwC recommande que le HSE reprenne les rênes de son réseau et élabore et applique un « code de connexion » à l’intention des entités qui l’utilisent. À l’interne, le HSE devrait établir des comités de cybersécurité et de TI au niveau de la direction et un comité au niveau du conseil d’administration (auquel se grefferont des experts indépendants) pour superviser la refonte du programme de sécurité.
2. Créer un poste de chef de la technologie et de la transformation (« CTT ») et le doter d’un cabinet afin d’établir une vision et une architecture qui rendront les technologies résilientes et prêtes pour l’avenir, de diriger l’important programme de transformation qui s’impose et de bâtir la capacité organisationnelle requise pour mener à terme un processus d’une telle envergure. Selon PwC, l’actuel chef de l’information du HSE n’a ni le mandat, ni l’autorité, ni le budget requis pour concevoir et bâtir un réseau informatique plus résilient. Le CTT recommandé devrait élaborer une nouvelle stratégie, ce qui nécessitera une enveloppe budgétaire substantielle.
3. Nommer un chef de la sécurité de l’information (« CSI »), créer un service de la cybersécurité et lui fournir les ressources et les talents adéquats. Diriger la mise en œuvre du programme de transformation de la cybersécurité. PwC indique que le HSE a besoin d’un CSI pour orchestrer le changement organisationnel [traduction] : « Le CSI devrait occuper un poste de directeur national, relever directement du CTT et pouvoir communiquer directement avec la haute direction pour veiller à ce que les risques de cybersécurité soient compris de tous et entrent en ligne de compte dans toutes les décisions. »
4. Instaurer un programme transformateur au chapitre de la continuité des services et des cliniques, qui sera administré par le directeur national de la gouvernance et de la gestion des risques, et accroître les capacités de gestion de crise pour tenir compte de scénarios comme les cyberattaques de grande envergure et les importantes pannes techniques. Bien qu’il estime que la continuité des services fasse partie des forces du HSE, PwC a tout de même recommandé d’en faire une discipline à part entière de la gestion des risques et de coordonner les processus à l’échelle de l’organisation.
Points à retenir
1. Le cas irlandais illustre les périls que font courir un réseau informatique et un modèle de gouvernance du risque qui ne centralisent pas la responsabilité et l’autorité. Dans le secteur public, il est fréquent de trouver des services des TI partagés organisés selon des modèles complexes qui ne sont pas résilients, les responsabilités et l’autorité connexes n’étant pas clairement assignées ou relevant de diverses entités.
Question : Votre modèle de gouvernance est-il assez robuste?
2. La cyberattaque en Irlande montre l’importance de se doter de plans d’intervention après incident proactifs et qui, pour les systèmes informatiques complexes, orientent le processus de planification. PwC estime que malgré ses excellentes capacités en gestion de crise et en intervention d’urgence, le HSE a souffert d’un manque de planification. Le rapport insiste sur l’importance de faire l’inventaire des actifs, d’établir la priorité des systèmes et des services pour la reprise et d’expliciter les dépendances entre ces services et systèmes.
Question : Le plan de votre réseau informatique est-il à jour? Répertorie-t-il tous vos systèmes? Expose-t-il les priorités et les dépendances?
Question : Avez-vous un plan d’intervention après incident qui précise les rôles, les responsabilités et les tâches prioritaires?
3. L’évaluation indépendante de PwC a permis au HSE de profiter d’une excellente analyse de remédiation. La véritable cause de l’incident n’était pas une erreur humaine (l’utilisateur qui s’est fait hameçonner), mais bien un problème organisationnel : le HSE n’a pas été en mesure de bâtir un réseau résilient et de réagir de manière optimale à l’attaque. Ce ne sont pas tous les incidents qui méritent une analyse aussi approfondie; cependant, les organisations qui ne font pas d’autopsie après ce type d’attaque risquent de revivre la même situation.
Question : Formez-vous les utilisateurs à repérer les tentatives d’hameçonnage, l’une des principales techniques qu’utilisent les pirates?
Question : Votre plan d’intervention comprend-il un volet analyse qui vous permettra d’aborder les causes immédiates et les causes profondes?
4. Ce qui s’est passé en Irlande montre que la cybersécurité, particulièrement dans le secteur public, est un enjeu qui nécessite une stratégie, un financement adéquat et un changement organisationnel. Le HSE, qui exploitait des infrastructures publiques essentielles et faisait face à des risques critiques, a admis que son niveau de maturité en cybersécurité était faible. Autrement dit, il était conscient du problème, mais n’a pas agi assez rapidement pour se protéger et protéger le public. Bon nombre d’organisations du secteur public canadien sont dans la même situation. Elles doivent procéder à une transformation. Idéalement, avant de subir une attaque semblable.
Question : Que peut-on faire pour instaurer des changements durables et obtenir un meilleur soutien de l’État avant de subir une cyberattaque d’envergure?
Question : Comment pouvez-vous tirer parti des capacités d’analyse de votre organisation et de vos partenaires pour justifier une augmentation budgétaire auprès du gouvernement?
Votre organisation présente-t-elle les mêmes faiblesses sur le plan de la gouvernance et de l’intervention que le HSE? Si c’est le cas, il vaut mieux prévenir que guérir. Les auteurs de cet article sont là pour vous aider.
