--------------------------------------
Unité de Formation et de Recherche
En Sciences Exactes et Appliquées (UFR/SEA)
Département Informatique
--------------------------------------
Année Académique 2024/2025
-------------------------------------
UJKZ/SEA/Dept-Info/Master 1
THEME : Réponse aux incidents de sécurité Analyse des incidents de
rançongiciel
Scénario : Un prestataire de soins de santé de taille moyenne a été victime d'un rançongiciel.
Les dossiers des patients sont chiffrés et les systèmes sont hors ligne.
Évaluation initiale :
Rançongiciel détecté à 3 h du matin 50 % des serveurs affectés
Dossiers médicaux électroniques inaccessibles
Systèmes de sauvegarde potentiellement compromis
Formulation de notre tache :
Fournir un plan de réponse efficace et complète à l'incident de sécurité causé par le rançongiciel
dans un prestataire de soins de santé, en prenant en compte l'impact initial, les stratégies de
confinement, les étapes de reprise et les leçons apprises pour améliorer la préparation aux
incidents futurs.
1
Introduction
Lorsqu'un prestataire de soins de santé de taille moyenne fait face à une situation impliquant un
rançongiciel, chaque seconde compte. L'urgence de la situation est palpable dès les premiers
instants, alors que les dossiers des patients sont soudainement cryptés et que les systèmes
essentiels sont mis hors ligne. L'impact initial de cette attaque est non seulement financier, mais
aussi crucial pour la continuité des soins médicaux.
Imaginons-nous à 3 heures du matin, où le rançongiciel est détecté, affectant déjà 50 % des
serveurs et rendant les dossiers médicaux électroniques inaccessibles. Les conséquences de
cette intrusion malveillante prennent forme sous nos yeux, mettant en péril la sécurité des
patients et la réputation de l'établissement de santé. Mais dans l'obscurité de cette crise, la mise
en place d'un plan de réponse aux incidents de sécurité efficace et rigoureux est très importante.
Dans notre étude de cas, nous plongerons au cœur de cette crise, en identifiant le rançongiciel
et son impact initial sur le prestataire de soins de santé. Nous explorerons ensuite les stratégies
de confinement des serveurs affectés, essentielles pour limiter la propagation de l'attaque et
prévenir de nouveaux dommages. De plus nous irons plus loin en élaborant un plan de reprise
des systèmes, détaillant les étapes cruciales pour remettre en ligne les serveurs compromis et
récupérer les données chiffrées. Enfin, en extrayant les enseignements de cette expérience, nous
mettrons en lumière les leçons apprises pour renforcer la préparation aux incidents futurs et
mieux protéger les institutions de santé contre de telles menaces.
I- Plan de réponse aux incidents de sécurité
I-A- Identification du rançongiciel et de l'impact initial
L'identification du rançongiciel est la première étape cruciale dans la gestion d'un incident de
sécurité. Dans le contexte d'un prestataire de soins de santé, la détection rapide du logiciel
malveillant est essentielle pour limiter les dommages potentiels sur les données sensibles des
patients. Pour ce faire, il est recommandé de mettre en place des outils de détection avancée
tels que des systèmes de surveillance en temps réel et des solutions de détection
comportementale. Ces outils permettent d'identifier les activités suspectes, telles que les
tentatives d'encryptions de fichiers sensibles par le ransomware.
2
Une fois le rançongiciel identifié, il est impératif d'évaluer l'impact initial de l'attaque. Cela
comprend l'analyse des systèmes affectés, la quantification des données chiffrées ou
compromises, et l'estimation des perturbations potentielles dans les opérations critiques de soins
de santé. Par exemple, si les dossiers médicaux électroniques des patients sont affectés, cela
peut entraîner des retards dans les traitements et compromettre la confidentialité des
informations médicales.
En outre, il est essentiel d'établir une cartographie précise des actifs critiques du système
d'information, tels que les serveurs de stockage des données médicales et les systèmes de
gestion des médicaments. Cela permettra de prioriser les actions de contai nment en se
concentrant sur la protection des éléments les plus vitaux de l'infrastructure informatique. Par
exemple, en isolant les serveurs affectés du réseau principal, on peut empêcher la propagation
rapide du ransomware à l'ensemble du système.
En conclusion, l'identification du rançongiciel et de l'impact initial constitue une étape cruciale
dans la réponse aux incidents de sécurité dans les prestataires de soins de santé. En mettant en
œuvre des méthodes de détection avancée et en évaluant rapidement les conséquences de
l'attaque, les organisations peuvent mieux prévenir les dommages potentiels et garantir la
continuité des services de santé pour leurs patients.
I-B- Stratégies de confinement des serveurs affectés
Le ciblage des serveurs affectés lors d'une attaque de ransomware nécessite la mise en place de
stratégies de confinement efficaces afin de limiter la propagation de l'infection et d'atténuer les
dommages potentiels. Dans le contexte d'un prestataire de soins de santé, où la confidentialité
et l'intégrité des données des patients sont essentielles, la réactivité et la précision des mesures
prises revêtent une importance capitale.
Tout d'abord, il est impératif d'identifier rapidement les serveurs touchés par le ransomware
afin de contenir l'impact initial de l'attaque. Cette identification doit se faire de manière
méthodique en analysant les systèmes affectés et en isolant immédiatement les serveurs
compromis pour empêcher la propagation du logiciel malveillant. Des outils de détection
avancés et une surveillance continue des activités suspectes sur le réseau sont essentiels pour
une réaction proactive.
3
Ensuite, il convient de mettre en place des stratégies de confinement spécifiques pour les
serveurs affectés. Cela comprend l'isolation des systèmes compromis du reste de l'infrastructure
afin d'empêcher la diffusion du ransomware. Des pares-feux renforcés, des restrictions d'accès
temporaires et la suspension des services non critiques peuvent être nécessaires pour limiter la
propagation de l'attaque tout en préservant l'intégrité des données sensibles des patients.
De plus, la collaboration étroite avec les équipes de réponse aux incidents de sécurité et les
prestataires de services spécialisés est essentielle pour mettre en œuvre rapidement des mesures
de confinement efficaces. Ces partenariats permettent d'accéder à des ressources spécialisées
en cybersécurité et d'adopter des meilleures pratiques reconnues pour contrer les attaques de
ransomware de manière proactive.
En résumé, les stratégies de confinement des serveurs affectés par un ransomware dans un
prestataire de soins de santé doivent allier réactivité, précision et collaboration pour limiter les
dommages potentiels et protéger la confidentialité des données des patients. En suivant un plan
d'action clair, basé sur une identification rapide, des actions ciblées et une coordination efficace,
il est possible de minimiser l'impact de l'incident et de renforcer la résilience du système face
aux menaces cybernétiques.
II- Plan de reprise du système
II-A- Étapes pour remettre le système en ligne
Une fois qu'un rançongiciel a infecté les serveurs d'un prestataire de soins de santé, les étapes
pour remettre ces systèmes en ligne nécessitent une approche méthodique et coordonnée pour
assurer une restauration efficace des services critiques. Cette série d'étapes est recommandée
pour la remise en ligne des serveurs affectés :
1. Isolation des serveurs infectés : La première étape consiste à isoler immédiatement les
serveurs touchés pour empêcher la propagation de l'infection à d'autres parties du réseau. Cela
nécessite une analyse approfondie pour identifier tous les serveurs affectés et les déconnecter
du réseau.
2. Identification de la version du logiciel malveillant : Il est crucial de déterminer la version
spécifique du rançongiciel afin de mettre en place des mesures de récupération adaptées. Cela
4
implique une analyse approfondie du code malveillant pour comprendre son mode de
fonctionnement et ses caractéristiques uniques.
3. Sauvegarde des données non infectées : Avant de commencer toute opération de
restauration, il est essentiel de sauvegarder toutes les données non infectées pour éviter toute
perte de données supplémentaire. Cette étape garantit que les informations vitales ne seront pas
compromises lors du processus de remise en ligne.
4. Déploiement de correctifs et mises à jour : Une fois les serveurs isolés et les données
sauvegardées, il est nécessaire de déployer des correctifs de sécurité et des mises à jour pour
renforcer la résilience du système et prévenir de futures attaques similaires. Cela inclut la mise
à jour des logiciels de sécurité et la configuration de pare-feu renforcés.
5. Restauration des données cryptées : Pour les données chiffrées par le rançongiciel, la
procédure de récupération doit être effectuée en suivant des étapes spécifiques pour déchiffrer
les données en toute sécurité et les restaurer dans leur intégralité sans compromettre l'intégrité
des informations.
6. Vérification de l'intégrité du système : Une fois que les serveurs ont été remis en ligne et
que toutes les données ont été restaurées, il est crucial de vérifier l'intégrité du système en
effectuant des analyses de sécurité approfondies pour identifier toute trace résiduelle du
rançongiciel et empêcher toute réinfection.
En conclusion, la remise en ligne des serveurs affectés par un rançongiciel dans un
environnement de soins de santé nécessite une approche structurée et méthodique, comprenant
l'isolement des serveurs, la sauvegarde des données non infectées, le déploiement de correctifs
de sécurité, la restauration des données chiffrées et la vérification complète du système. En
suivant ces étapes clés, les prestataires de soins de santé peuvent garantir une reprise efficace
et sécurisée de leurs systèmes, renforçant ainsi leur capacité à faire face à d'éventuels incidents
de sécurité futurs.
II-B- Procédures de récupération des données chiffrées
La récupération des données chiffrées après une attaque de rançongiciel est cruciale pour
garantir la continuité des opérations d'un prestataire de soins de santé. Cette étape nécessite une
approche méthodique et bien planifiée pour minimiser les pertes de données et restaurer le
fonctionnement normal des systèmes.
6
7
8
1
/
8
100%