Cybersécurité Santé : Pare-feux Nouvelle Génération Dopés à l'IA
Les organisations de soins de santé sont confrontées à un défi de plus en plus complexe en matière de protection des données sensibles, à mesure que les cybermenaces deviennent plus sophistiquées. Les cybercriminels sont de plus en plus habiles à échapper à la détection, utilisant souvent des tactiques moins agressives comme les identifiants de connexion compromis, selon IBM. Le volume des attaques est stupéfiant ; Microsoft, par exemple, rapporte bloquer 600 millions de cyberattaques quotidiennement. De plus, si l’intelligence artificielle (IA) améliore la productivité dans tous les secteurs, elle fournit également aux pirates de nouveaux outils puissants.
Pour contrer ces menaces évolutives, les organisations se tournent de plus en plus vers les pare-feux de nouvelle génération (NGFW) améliorés par l’IA comme composant critique de leur infrastructure de sécurité globale. Vince Tsugranes, architecte en chef chez Red Hat, explique le rôle transformateur de l’IA : “L’IA agit comme le cerveau du pare-feu de nouvelle génération, allant au-delà de la logique statique basée sur des règles des générations précédentes. Cette capacité cognitive permet au pare-feu non seulement d’appliquer des politiques, mais aussi de comprendre les nuances du trafic réseau, d’anticiper les menaces futures et d’adapter ses défenses en temps réel.”
Pourquoi les pare-feux traditionnels sont insuffisants dans le secteur de la santé
Les pare-feux traditionnels offrent généralement une protection insuffisante dans le paysage actuel de la cybersécurité en raison de leur conception simpliste. Ils fonctionnent un peu comme un seul agent de sécurité vérifiant les identités à une porte d’entrée, mais manquant la capacité de surveiller les activités une fois à l’intérieur du bâtiment. Un pare-feu traditionnel autorise ou refuse le trafic en ligne sur la base de paramètres de base tels que les adresses IP et les numéros de port. Si un pirate accède au système de dossiers de santé électroniques (DSE) d’un hôpital via un port autorisé, un pare-feu traditionnel pourrait ne pas détecter les activités suspectes qui suivent, telles que l’exfiltration d’informations critiques.
En revanche, un NGFW utilise l’inspection approfondie des paquets pour analyser le contenu et l’origine du trafic en ligne. Dans l’exemple du DSE, un NGFW pourrait être configuré pour n’autoriser l’accès via un port spécifique que si le trafic provient d’une application de confiance, telle qu’Epic ou Oracle. Il pourrait également empêcher les utilisateurs de télécharger des données vers des applications tierces non autorisées. Au-delà de la sécurité améliorée, les NGFW peuvent également contribuer à assurer la conformité HIPAA en fournissant une surveillance précise des contrôles d’accès pour les informations de santé protégées (ISP) et en mettant en œuvre l’inspection du trafic chiffré pour empêcher la suppression illicite des données des patients.
Le rôle stratégique des pare-feux de nouvelle génération
Les NGFW ne sont pas des solutions isolées, mais plutôt un élément crucial d’une stratégie de cybersécurité complète et basée sur une plateforme. Les experts soulignent que ces pare-feux doivent être intégrés dans tous les systèmes internes d’une organisation, allant au-delà du simple périmètre du réseau.
Tsugranes souligne ce changement, affirmant que les protocoles de sécurité doivent “descendre au niveau de l’application. C’est bien plus que de simples pare-feux basés sur l’hôte et des systèmes de prévention d’intrusion. C’est la gestion du trafic entre les composants d’application, les conteneurs et les fonctions, ce qui est aussi granulaire que possible.” Rick Miles, vice-président de la gestion des produits pour la sécurité cloud et réseau chez Cisco, prévoit que les NGFW évolueront vers “une solution de pare-feu distribuée”, soulignant la nécessité d’assurer la sécurité à chaque couche, “d’une boîte à la périphérie d’un centre de données aux applications déployées dans le cloud.”
Cette approche distribuée est vitale pour contenir les menaces. Par exemple, si un poste de travail dans une unité de radiologie est infecté par un rançongiciel et qu’un attaquant tente d’exploiter cette vulnérabilité pour accéder à d’autres parties du réseau de l’hôpital, un pare-feu distribué avec une politique de micro-segmentation pourrait isoler les charges de travail de radiologie. Cela empêche le pirate d’atteindre d’autres systèmes critiques, tels que le DSE.
Pare-feux améliorés par l’IA, fatigue d’alertes et défis de personnel
Associer les NGFW à l’IA renforce non seulement la posture de sécurité d’une organisation, mais contribue également à alléger la charge de travail des professionnels de la cybersécurité. Les outils basés sur l’IA de fournisseurs de premier plan tels que Fortinet, Juniper Networks, Palo Alto Networks et Splunk peuvent analyser les modèles de trafic, identifier les irrégularités et déployer des réponses automatisées – comme l’arrêt d’un transfert de données suspect – beaucoup plus rapidement qu’un analyste humain.
Ce type de réaction automatisée est crucial pour prévenir la “fatigue d’alerte” au sein des équipes informatiques. L’IA agentique peut enquêter et répondre aux problèmes à faible risque, tels que le blocage d’un e-mail de phishing à un seul utilisateur, libérant ainsi les employés humains pour qu’ils se concentrent sur des menaces plus complexes, à l’échelle de l’organisation. Bien que l’IA augmente considérablement les capacités de sécurité, Tsugranes estime que les humains seront toujours responsables de la définition des politiques de sécurité spécifiques d’une organisation. Il note que même avec des outils d’IA améliorés mettant en œuvre des protocoles, “en fin de compte, l’entreprise est toujours responsable de ce qui se passe.”
Comment les cybercriminels utilisent l’IA pour contourner la sécurité
L’adoption des NGFW améliorés par l’IA est devenue impérative pour lutter contre des techniques de piratage de plus en plus sophistiquées. Les cybercriminels exploitent l’IA pour créer des profils convaincants qui imitent des comptes légitimes, rendant leurs tactiques d’infiltration moins détectables par les pare-feux. La vitesse à laquelle les pirates peuvent développer et déployer des attaques s’est également accélérée grâce à l’IA. McKinsey rapporte une augmentation stupéfiante de 1200 % des attaques de phishing depuis fin 2022, coïncidant avec la disponibilité publique d’outils d’IA générative comme ChatGPT.
Miles avertit que cette nouvelle réalité exige une réponse organisationnelle rapide aux vulnérabilités. “Cela force les entreprises à réfléchir à de nouvelles façons de réduire les risques. Adaptons-nous à ce paysage de menaces et permettons aux organisations de gérer les exploits distribués et les correctifs en quelques secondes au lieu de mois”, exhorte-t-il. Il envisage “le déploiement d’une protection distribuée contre les exploits directement sur l’application elle-même qui élimine complètement ce chemin d’attaque tout en permettant à l’application de fonctionner.”
Enfin, Tsugranes rappelle aux professionnels de l’informatique que les NGFW ne sont pas des outils “à régler et à oublier”. La surveillance continue des journaux, l’établissement d’une boucle de rétroaction pour que les équipes signalent les problèmes et l’audit régulier des politiques sont cruciaux pour assurer l’efficacité, l’efficience et l’adaptation continue aux nouvelles menaces. Ce processus proactif et continu est essentiel pour minimiser les risques de sécurité dans l’environnement dynamique des soins de santé.