Publicité en cours de chargement...

Publicité en cours de chargement...

GHT : stratégie de convergence SSI, partie II

20 mars 2018 - 08:56,
Tribune - Cédric Cartau
Dans un précédent article(1), nous traitions des stratégies de convergence SSI au sein d’un GHT s’appuyant sur le triptyque audit/appréciation des risques/suivi des actions et, en premier lieu, de l’audit, en décrivant un outil très simple (PingCastle) qui permet d’évaluer le niveau de protection de l’AD.  

Démarrer par les audits permet, a minima, de se faire une idée des niveaux de maturité respectifs de chaque établissement. Commencer par utiliser des outils simples et pas chers – voire gratuits – n’obère en rien la qualité des résultats obtenus. Selon nous, si on devait faire un choix sur les cibles à auditer en priorité, il y aurait bien entendu l’AD tel qu’évoqué ci-dessus, mais on pourrait ajouter au moins deux domaines techniques : le niveau de protection périmétrique et le niveau de maîtrise du parc d’actifs IP.

Le niveau de protection périmétrique fait référence à deux items : la protection périmétrique à proprement parler (pare-feu, robustesse de l’architecture, etc.) et les vulnérabilités exposées (équipements patchés, configuration des serveurs Web, etc.). Les produits du marché qui répondent à ce besoin (par exemple IKare de la société ITrust) affichent des tarifs catalogue aux environ de 100 euros par adresse IP auditée et par an. Même pour un CHU exposant 100 IP, la facture est tout à fait raisonnable, d’autant que ces produits permettent de réaliser autant de scans que souhaité. Faire une telle économie de bouts de chandelle, à l’heure des GHT, relève tout simplement de l’inconscience aiguë. Certes, on n’évitera pas les audits d’architecture, mais il peut être opportun de les accoler aux projets de renouvellement de l’infrastructure.

Pour ce qui concerne enfin le niveau de maîtrise du parc d’actifs IP (ce qui englobe absolument tout ce qui est connecté au réseau, que ce soit en filaire ou en wifi, qu’il s’agisse de matériels acquis et maintenus par la DSI ou non, de PC ou pas), l’expérience montre que les DSI se rangent en deux catégories : celles qui sont mauvaises, et celles qui sont très mauvaises. Si vous voulez vous en convaincre, demandez donc à votre DSI de vous produire le delta entre la totalité des actifs IP sur le LAN et le parc connu de la DSI : sans même parler d’interdire la connexion des actifs non maîtrisés (BYOD sauvage), encore faudrait-il dans un premier temps les mesurer… Cette mesure peut être réalisée avec des outils très simples de gestion de parc : Nmap, SCCM, AD, etc. La production de listes sous format tableur et leur fusion, le tout par script, est du niveau licence L1 ou L2.

Pourquoi ces trois types d’audit ? Parce qu’ils sont faciles à mettre en œuvre et permettent de se faire rapidement une idée du niveau de maturité des établissements d’un GHT où, en fonction de la taille, de l’histoire et des budgets, on trouve des situations très diverses. 

Si quelqu’un a une meilleure idée…


(1) /article/2873/ght-strategie-de-convergence-ssi-partie-i.html 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Illustration Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

Illustration L’arnaque à l’arrêt de travail comme source de réflexion

L’arnaque à l’arrêt de travail comme source de réflexion

14 avril 2025 - 21:57,

Tribune

-
Cédric Cartau

Soupçonné d’avoir mis en place un site Web permettant d’acheter de « faux » arrêts de travail en quelques clics et pour 9 euros seulement, un jeune homme de 22 ans originaire des Landes est sous le coup d’une accusation et de poursuites diverses. Les faux arrêts de travail étaient générés automatiqu...

Illustration Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

08 avril 2025 - 07:19,

Tribune

-
Cédric Cartau

Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.