Webinar - Données de santé : le jour où mon coeur s'est arrêté de battre

Vous n’avez pas pu assister à ce webinar ? Nous vous proposons de revenir sur les quelques points clés évoqués à cette occasion. 

Ce n’est pas une surprise, le niveau de menace dans le secteur de la santé est très élevé :  

• Forte augmentation des attaques liées au contexte de la Covid (campagnes de Phishing, ransomwares) 
• Plus de 20 établissements victimes de cyberattaques en 2021  
• Une forte valorisation des données de santé en vente sur le deep/dark web.  
• Un secteur stratégique  

Dans ce webinar, nous vous présentons les faits marquants analysés par le CERT-XMCO :  

La compromission d’une base de données de santé

Le service Elastic Search ne supportait pas de mécanisme d’authentification natif, un partage de donnée était accessible librement, exposant des terras de données (Information sur les nourrissons, carte de mutuelle…). 

Revente de données de santé sur le dark web

Nos analystes scrutent sur le deep et le dark web ce qu’il se passe, échange avec des attaquants dans le but de récupérer des données. Ces activités nous ont permis d’identifier la publication de données issues du croisement entre une base de données dérobées à la société clubhouse avec les informations publiées légitimement par le site d’un de nos clients. Cette nouvelle base de données enrichie recensait donc des données de santé à forte valeur ajoutée. 

Fuite de documents sensibles

Des données confidentielles liées à des ventes d’un médicament. Il s’agissait de médicaments liés au VIH. S’ils fuitaient, ils pouvaient être récupérés pour nuire à l’image de l’organisation qui les a produites. Le risque n’est pas opérationnel, mais c’est un risque d’atteinte à l’image. 

Fuite d’identifiants de comptes

Nous indexons les identifiants de nombreuses bases de données compromises et rendues publiques créant ainsi une énorme base de données depuis laquelle notre outil interne vérifie la présence d’identifiants de nos clients ayant fuité. Si les identifiants sont à jour et inchangés au moment de leur fuite, cela peut représenter un risque d’intrusion dans les systèmes pour les victimes. La réutilisation de mots de passe personnels dans le cadre professionnel représente un autre risque. Aussi, la compromission d’identifiants entraine de possibles attaques type fraude au président.  

Serenety : surveiller son exposition aux menaces  

Serenety est une solution développée en interne par notre R&D. Elle permet la surveillance de 2 axes complémentaires pour nos clients :  

1 – La surface d’attaque :  

Des contrôles vont être opérés sur les assets exposés de nos clients (les adresses IP, les domaines, les sites …). L’idée est d’adopter la même posture que celle d’un attaquant (extérieur à l’entité surveillée) qui ciblerait un système d’information. 

Dans la vidéo du webinar, vous découvrirez la répartition des éléments que l’on trouve le plus souvent : interface d’administration, domaines suspects, pour du phishing, ports ouverts, erreurs de configuration…  

2 – La surface d’exposition :  

Des contrôles vont être opérés grâce aux mots-clés autour de l’activité de nos clients et ce sur la totalité web (clear / deep / dark webs).  

Sur le web visible avec des recherches spécifiques de documents qui ne devraient pas être exposés, des documents dans le cache de certaines pages, sur des sites de partage de documents … Mais on va aussi chercher sur les réseaux sociaux, les usurpations d’identité ou encore les fuites d’informations techniques sur des sites de dépôt de code comme github/gitlab. On retrouve des identifiants également sur ces sites-là, dans les dépôts de code ! 

On recherche également activement des éléments sur le deep et dark web comme de la revente d’accès à des machines compromises ou des documents exfiltrés après des attaques par ransomware. Les fuites d’identifiants et d’informations techniques, en général représentent une porte d’entrée majeures pour les attaques. 

Plus de 40 contrôles opérés sur des centaines de sources 

Nous avons un large panel de sources externes : les réseaux sociaux, les forums, les sites de partages de documents… Mais également des sources internes, notamment avec notre base d’indexation des bases de données compromises enrichies.  

Serenety : protéger nos clients en continu  

Un premier filtre des résultats issus des robots est effectué de manière automatisée : il s’agit de la corrélation entre ce qui appartient à nos clients (les IP, les DNS et les mots clés) et les informations disponibles publiquement sur les différents espaces surveillés.  

Dans un 2e temps, il y aura une analyse plus poussée de la part de nos analyses qui vont pouvoir qualifier la menace et faire un tri des faux positifs. On ne remonte que ce qui vous concerne, afin d’éviter le bruit inutile.  

Ensuite, notre analyste va faire son travail d’investigation, de recherche, de contextualisation, dans le but de produire une alerte qui sera déposée au sein d’un portail disposant :  

• D’un dashboard avec les tickets ouverts, leur criticité et les référents 
• D’une API vous permetttant de consommer l’information enrichie produite par XMCO et ne pas réutiliser un outil externe. Beaucoup de nos clients ont en effet déjà des outils de suivi. Avec l’API, vous vous affranchissez d’une interface supplémentaire.  

Afin d’en savoir plus sur la manière dont nous allons produire les alertes, nous organisons des points suivis avec nos clients. Le but est de pouvoir suivre l’activité, et de collecter toutes les informations auprès de nos clients sur leur contexte actualisé.  

Enfin, afin de mieux appréhender notre démarche, il est tout à fait possible de tester le service pendant 2 semaines, de manière gratuite. Nous mettons nos interlocuteurs dans la peau d’un client disposant réellement d’un abonnement au service. 

Ce résumé vous a plu ? Vous souhaiteriez en savoir davantage pour mettre en place sur stratégie de Cyber Threat Intelligence avec Serenety by XMCO ? Contactez-nous !