Ce sont des failles dans l’informatique des établissements de santé qui font le miel des pirates informatiques. Ces six erreurs courantes détaillées dans un récent webinaire instructif par les experts du centre d’alerte et de réaction aux attaques informatique (Cert) Santé pourraient pourtant être corrigées “sans trop d’effort”.
Ces derniers déplorent ainsi tout d’abord retrouver des réseaux virtuels locaux non documentés aux accès trop larges. “Au final, on ne sait pas ce qu’il y a vraiment dedans”, signale Quentin Le Thiec, ingénieur cybersécurité au Cert-Santé.
En cas de turn-over dans les équipes, ils peuvent sombrer dans l’oubli ou faire doublon. “Cela peut être un super point de pivot pour des attaquants”, avertit l’expert, qui recommande de bien séparer les réseaux les plus sensibles, avec les serveurs les plus critiques, et le reste du système d’information.
Déployer un EDR sans méthode
De même, le Cert-Santé met en garde contre un déploiement d’un EDR (Endpoint Detection and Response) sans suivi des alertes. Certes, ce type de logiciel permet d’améliorer la surveillance des terminaux en détectant les anomalies annonciatrices d’une attaque informatique. Mais sans méthode ou ressources humaines dédiées, cela peut virer à l’accumulation de “tonnes d’alertes”, plusieurs milliers, sur un bien impressionnant tableau de bord.
Résultat: si des règles automatiques sont mises en place, il y a une grande probabilité de faire planter le système à cause des faux positifs. “Assez rapidement, on remarque un désengagement assez fort des équipes qui n’ont pas envie du tout de récupérer le bébé”, signale Quentin Le Thiec. Ôtant ainsi toute utilité à l’outil.
Autre point important à avoir en tête: les experts du Cert-Santé regrettent le manque d’exploitation des journaux d’événements, les logs. Pourtant, a posteriori, de nombreux incidents auraient pu être détectés en amont. La bonne pratique consiste alors à les centraliser, avec un horodatage, pour “savoir ce qu’a fait l’attaquant entre le moment où il arrive dans le système et le moment où on a réussi à le à le virer ou le moment où il a chiffré”, avec dès lors une timeline correcte de ses activités.
Les équipements personnels
Le Cert-Santé recommande également d’avoir une politique claire en matière au sujet des équipements personnels, une menace “assez mal évaluée”. Voire même de l’interdire pour les utilisateurs ayant des droits privilégiés dans le système d’information. “Il y a un risque de perte ou de vol, on sait que les utilisateurs adorent stocker de la donnée santé ou à caractère RGPD” sur leurs postes personnels ou sur leur propre drive, signale Quentin Le Thiec. Sans évidemment de visibilité pour les personnes en charge de la sécurité informatique.
Autre mauvais réflexe à éviter: en cas de chiffrement d’un terminal, couper l’alimentation électrique de l’ordinateur infecté. Au pire, mieux vaut débrancher le câble réseau ou stopper la carte réseau. Si des outils de sécurité travaillent en local, la coupure de l’alimentation va provoquer leur arrêt. De même, la mémoire vive des terminaux infectés peut apporter des informations utiles, parfois même les clés de déchiffrement, “même si c’est beaucoup moins le cas aujourd’hui”, admet Quentin Le Thiec.
Quoiqu’il en soit, “avoir une machine qui est juste isolée du réseau et qui continue à tourner” est jugé préférable pour les investigations. D’autant plus que le débranchement sauvage d’un terminal peut donner un faux sentiment de sécurité. On croit avoir découvert “le patient zéro” alors que le rançongiciel est en train d’être déployé via d’autres mécanismes sur le reste du parc.
Les prestataires, un sujet “compliqué”
Dernière faille à corriger en priorité, la délégation des accès aux prestataires, un “sujet compliqué”, admet Quentin Le Thiec. Car ces derniers peuvent “se connecter dans tous les sens” et sans prévenir. “C’est difficile d’intégrer des produits de sécurité” face à la variété des modalités d’accès, du RDP (Remote Desktop Protocol) au réseau privé virtuel en passant par le logiciel d’accès à distance TeamViewer, convient l’ingénieur en cybersécurité.
“Idéalement, il faut avoir un document de connexion généraliste au système d’information proposant une solution cadrée”, préconise Quentin Le Thiec. Ce qui permet d’éviter des situations floues en cas de compromission à cause du compte d’un prestataire, où “tout le monde et personne à la fois est responsable”.
Et de suggérer la mise en place d’accès à la demande autant que possible à la demande, avec un suivi et un audit. Histoire de ne pas avoir à retrouver un jour un compte d’administrateur vieux de vingt ans, avec comme mot de passe le nom du prestataire. “Un truc qu’on voit souvent”, regrette l’ingénieur en cybersécurité”.