Le secteur de la santé continue d’être la cible des cybercriminels, qui n’hésitent pas à profiter des vulnérabilités des systèmes pour s’infiltrer au sein de réseaux en quête de données confidentielles. Si le gouvernement a activé un vaste plan pour régler enfin cet épineux souci à l’impact sociétal fort, tout commence tout de même par des bonnes pratiques au sein des établissements eux-mêmes.
Mieux armer les établissements de santé face au risque cyber
Le programme était attendu et il est “vaste”. Mercredi 21 décembre, les ministres de l’Intérieur, de la Santé et du Numérique ont dévoilé le plan visant à mieux préparer les établissements de santé pour faire face aux incidents cyber, et surtout à s’en prémunir. Il fait suite aux deux attaques qui ont touché les hôpitaux de Corbeil-Essonnes, fin août 2022, et Versailles, début décembre, avec pour fâcheuse conséquence d’en paralyser totalement les services.
Ce sont les attaques de trop pour le gouvernement, et il était en effet temps de réagir, puisque, comme le révèle l’ENISA, l’Agence européenne pour la cybersécurité, dans son dernier rapport annuel, le secteur de la santé ne représente pas moins de 7,2 % des incidents signalés. En comparaison avec d’autres secteurs très affectés par le problème comme les banques, l’impact sociétal est nécessairement très fort au vu de leur ampleur et de leur pouvoir de nuisance.
Depuis deux ans, les attaques dans les services publics se multiplient, et les incidents de sécurité ont même doublé en 2021 par rapport à 2019 et 2020 dans le secteur de la santé (CERT Santé). Ce n’est pourtant pas faute de tirer la sonnette d’alarme côté IT. Finalement, peu de choses ont changé dans la manière d’aborder le problème, et si la mise en place de programmes gouvernementaux est appréciable, il est nécessaire de mettre en place, à défauts de technologies, de véritables bonnes pratiques, concrètes et efficaces, pour diminuer la surface d’attaque et résoudre en partie les points de friction.
Ce sont les attaques de trop pour le gouvernement, et il était en effet temps de réagir, puisque, comme le révèle l’ENISA, l’Agence européenne pour la cybersécurité, dans son dernier rapport annuel, le secteur de la santé ne représente pas moins de 7,2 % des incidents signalés. En comparaison avec d’autres secteurs très affectés par le problème comme les banques, l’impact sociétal est nécessairement très fort au vu de leur ampleur et de leur pouvoir de nuisance.
Depuis deux ans, les attaques dans les services publics se multiplient, et les incidents de sécurité ont même doublé en 2021 par rapport à 2019 et 2020 dans le secteur de la santé (CERT Santé). Ce n’est pourtant pas faute de tirer la sonnette d’alarme côté IT. Finalement, peu de choses ont changé dans la manière d’aborder le problème, et si la mise en place de programmes gouvernementaux est appréciable, il est nécessaire de mettre en place, à défauts de technologies, de véritables bonnes pratiques, concrètes et efficaces, pour diminuer la surface d’attaque et résoudre en partie les points de friction.
Des environnements difficiles à sécuriser, mais…
On constate en effet des couches très minimales de sécurité dans les services publics comme les établissements bancaires, et très peu de contrôle autour de grands volumes de données qui peuvent ainsi facilement être volées et mises en vente.
Forcément, les hôpitaux sont des cibles très intéressantes au vu de l’importance de ces données, qui ne sont pas forcément hébergées dans des endroits sécurisés. Elles sont ainsi dispersées et ne bénéficient pas des niveaux de chiffrement appropriés.
Plus frappant encore, rien n’est vraiment organisé pour gérer les accès distants à ces données au niveau des administrateurs comme des partenaires. Une contrainte qui semble toujours difficile à adresser, alors que le fait de donner des accès privilégiés à distance suppose une couche conséquente de protection fondamentale. Et pourtant, la mise en place de plans de sécurité pour protéger la confidentialité, l’intégrité et la disponibilité des informations repose aussi sur du bon sens. Avant de penser méthodes offensives, il est primordial de réfléchir aux fondements que sont les privilèges.
Forcément, les hôpitaux sont des cibles très intéressantes au vu de l’importance de ces données, qui ne sont pas forcément hébergées dans des endroits sécurisés. Elles sont ainsi dispersées et ne bénéficient pas des niveaux de chiffrement appropriés.
Plus frappant encore, rien n’est vraiment organisé pour gérer les accès distants à ces données au niveau des administrateurs comme des partenaires. Une contrainte qui semble toujours difficile à adresser, alors que le fait de donner des accès privilégiés à distance suppose une couche conséquente de protection fondamentale. Et pourtant, la mise en place de plans de sécurité pour protéger la confidentialité, l’intégrité et la disponibilité des informations repose aussi sur du bon sens. Avant de penser méthodes offensives, il est primordial de réfléchir aux fondements que sont les privilèges.
Une solution, toujours sécuriser, gérer et surveiller en premier lieu l’accès des comptes à privilèges
Par accès à privilèges, on entend souvent le fait pour l’utilisateur de disposer de droits d’accès de type administrateur à un système. Cependant, ce n’est pas toujours le cas et d’autres types d’accès à privilèges existent. Tous permettent,via des outils comme Microsoft Exchange Server par exemple, de créer, modifier et ou supprimer des e-mails sur un serveur donné. Un accès à privilèges permet ainsi en général de modifier les configurations d’un système, installer et désinstaller des programmes, créer ou supprimer des comptes d’utilisateurs, ou encore d’accéder à des données sensibles. En termes de sécurité, accorder ces droits à tout va est bien sûr très dangereux. Il faut donc contrôler et superviser les accès à privilèges, ou pouvoir révoquer les droits à tout moment.
Ainsi, une solution de PAM (Privileged Access Management) s’avère parfaite puisqu’avec elle, il n’est plus nécessaire de conserver localement les mots de passe. Un coffre-fort sécurisé permet de stocker l’ensemble des justificatifs d’identité dans le cloud ou sur site. Il est protégé par un chiffrement de haut niveau et un contrôle d’accès rigoureux.
De leur côté, les administrateurs ne visualisent plus les informations d’identification, qui sont envoyées automatiquement par la solution PAM dans la session vers les serveurs cibles. La chambre forte peut également être connectée à des outils de gestion d'identité ou à Active Directory pour offrir des contrôles d'accès basés sur les rôles et garantir différents niveaux de fonctionnalité à différents niveaux d'utilisateurs.
Il est important de se rappeler qu'il existe également des utilisateurs non humains, tels que des applications logicielles, des codes et d'autres types de machines, qui peuvent avoir accès aux systèmes et aux données, et qui partagent aussi automatiquement des informations privilégiées. Par conséquent, la gestion des permissions aux machines est également essentielle pour empêcher les applications non validées ou « trustées » de s’exécuter avec des permissions élevées sur la machine. Ces fonctionnalités sont apportées par des solutions de type EPM, pour Endpoint Privilege Management, qui permettent d’implémenter le principe de Moindre Privilège sur l’ensemble des postes de travail, réduisant grandement la surface d’attaques pour le rançongiciels.
Sur la base de ces principes, les hôpitaux pourront mettre en place la bonne pratique qui leur sera la plus utile : celle du “just enough” et “just in time”. En effet, accorder les droits qui suffisent, à l’endroit et à la personne qui en a besoin, est la base de cette remise à plat de la gestion des accès, avec l’accord de permissions dont on a besoin quand on a besoin. On espère sur cette base qu’aux côtés des grands plans gouvernementaux, les attaques envers les institutions au service de la santé des citoyens seront enfin protégées des hackers sans vergogne.
Ainsi, une solution de PAM (Privileged Access Management) s’avère parfaite puisqu’avec elle, il n’est plus nécessaire de conserver localement les mots de passe. Un coffre-fort sécurisé permet de stocker l’ensemble des justificatifs d’identité dans le cloud ou sur site. Il est protégé par un chiffrement de haut niveau et un contrôle d’accès rigoureux.
De leur côté, les administrateurs ne visualisent plus les informations d’identification, qui sont envoyées automatiquement par la solution PAM dans la session vers les serveurs cibles. La chambre forte peut également être connectée à des outils de gestion d'identité ou à Active Directory pour offrir des contrôles d'accès basés sur les rôles et garantir différents niveaux de fonctionnalité à différents niveaux d'utilisateurs.
Il est important de se rappeler qu'il existe également des utilisateurs non humains, tels que des applications logicielles, des codes et d'autres types de machines, qui peuvent avoir accès aux systèmes et aux données, et qui partagent aussi automatiquement des informations privilégiées. Par conséquent, la gestion des permissions aux machines est également essentielle pour empêcher les applications non validées ou « trustées » de s’exécuter avec des permissions élevées sur la machine. Ces fonctionnalités sont apportées par des solutions de type EPM, pour Endpoint Privilege Management, qui permettent d’implémenter le principe de Moindre Privilège sur l’ensemble des postes de travail, réduisant grandement la surface d’attaques pour le rançongiciels.
Sur la base de ces principes, les hôpitaux pourront mettre en place la bonne pratique qui leur sera la plus utile : celle du “just enough” et “just in time”. En effet, accorder les droits qui suffisent, à l’endroit et à la personne qui en a besoin, est la base de cette remise à plat de la gestion des accès, avec l’accord de permissions dont on a besoin quand on a besoin. On espère sur cette base qu’aux côtés des grands plans gouvernementaux, les attaques envers les institutions au service de la santé des citoyens seront enfin protégées des hackers sans vergogne.