Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

La cyber confrontée à la question des accès fournisseurs

27 juin 2023 - 10:05,
Tribune - Cédric Cartau
Impossible d’être passé à côté, l’actualité de cette semaine concerne l’attaque cyber dont a été victime le CHU de Rennes.

À ce stade des investigations, je ne ferai aucun commentaire sur qui, quoi, quand, comment, où, pourquoi, mais parmi les sujets qui sont impactés par cette attaque il y a celui des accès des fournisseurs à nos SI. On a vu en effet au même moment une communication d’un éditeur (EDL en l’occurrence) affirmant qu’un compte obsolète (d’accès en télémaintenance s’entend) était toujours présent chez certains de ses clients et qu’il convenait de changer dare-dare le mot de passe.

Article connexe2023 : Une nouvelle année sans incidents cyber

Dans des articles précédents, j’avais déjà soulevé la question des accès fournisseurs aux SI, qui finissent par avoir davantage de privilèges que nos propres agents à qui on impose du MFA à tour de bras, non seulement pour les accès externes (télétravail), mais aussi en interne (déploiement de cartes à puce pour les connexions de session avec une authentification SSO pour le volet applicatif, l’état de l’art en somme). On enquiquine plus le médecin en lui demandant des comptes pour savoir pourquoi il a accédé à telle donnée de tel patient à telle heure que le technicien de Bangalore qui peut à 8 000 bornes de distance consulter la totalité des données médicales de tous les patients d’un GHT sans aucun contrôle.

Pour ce qui concerne les accès fournisseurs, la plupart du temps, c’est la fête au village : accès en simple login/password, canal d’accès ouvert 24/365, rebond direct de la passerelle VPN sur le système interne (un serveur, un système Scada, etc.), le tout sans prévenir, sans rapport d’intervention (ben oui quoi, c’est du temps perdu une fiche de traçabilité, hein ?), et encore quand on n’a pas affaire à des accès LAN to LAN depuis des plateformes internationales centralisées en Inde (c’est du vécu).

Dans ces conditions, vous avez deux versions du futur proche : soit nous anticipons, soit nous attendons comme des crétins qu’un gros incident se produise dans un grand CHU et qu’une injonction nous arrive dans les 48 heures de l’Anssi, du ministère, de la DGSE ou autre, nous intimant de verrouiller tout ce foutoir – et ce pour avant-avant-hier (et, entre nous, ils n’auront pas tout à fait tort).

Que vous le vouliez ou non, voilà ce qui nous attend (et ce n’est jamais que l’application du Zero Trust, même pas extrémiste) :

– Fermeture des accès par défaut (le compte fournisseur existe, mais reste bloqué par défaut en attendant un déblocage manuel nécessitant une intervention humaine d’un agent de la DSI) ;

– Déblocage d’un accès uniquement sur demande écrite et motivée, provenant d’une adresse mail référencée sur la fiche fournisseur ;

– Rappel par les équipes d’exploitation d’un numéro (également référencé) demandant un élément de confirmation (par exemple un code ou un numéro dédié à chaque client, déterminé à la mise en place du canal de télémaintenance), avec connexion possible seulement après activation du compte ;

– Reverrouillage du compte après l’intervention, soit manuellement soit par script automatisé ;

– Rupture de flux, seule la prise de main à distance sur un terminal est autorisée, aucun accès VPN direct ;

– Filtrage sur une adresse IP fixe, fournie par le prestataire au moment de la mise en place du contrat, ce qui signifie, entre autres, que les agents du fournisseur devront repasser par l’IP de sortie de leur employeur pour les accès distants en télémaintenance, y compris lorsqu’ils sont en télétravail ;

– Géoblocking généralisé aux IP européennes ; il appartiendra au client de mettre en place, dans son infrastructure et à ses frais, des IP européennes de sortie avec des back-up (le géoblocking produit de faux positifs) ;

– Durée d’un compte fournisseur strictement limité à la durée du marché ;

– Obligation contractuelle du fournisseur de signaler tout changement et tout incident ;

– MFA à mettre en place, par le fournisseur sur son propre SI, avec obligation contractuelle, pour sécuriser les accès télémaintenance sortants (imposer le MFA en entrée de votre VPN/bastion relève de la gageure) ;

– Fin des accès LAN to LAN (avec l’impact que vous pouvez imaginer sur la continuité de service) ;

– Séparation entre les accès sortants (pour la télésupervision d’équipements) et les accès entrants ; attention, ce point est très complexe, et pas mal de fournisseurs, surtout côté biomédical, cherchent actuellement à le contourner ;

– Obligation réglementaire du fournisseur de former ses agents, y compris ses prestataires en sous-traitance, avec preuve de formation, à renouveler a minima tous les trois ans ;

– Modification des contrats pour engager, civilement et pénalement, le fournisseur en cas de manquement à ses obligations réglementaires (identifiants dans la nature, MFA non implémentée, formations non suivies, etc.).

 Il ne faut pas croire que les fournisseurs sont les seuls concernés : ces changements ont également de lourdes conséquences sur les équipes internes, auxquelles les obligations de formation s’appliquent aussi, avec un impact sur la charge et la couverture horaire d’une DSI pour être en mesure de procéder à des ouvertures d’accès 24/365, etc.

Dit autrement et pour être plus clair : on est juste au début des ennuis…


L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

05 mai 2025 - 23:11,

Tribune

-
Cédric Cartau

Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Illustration Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

02 mai 2025 - 16:13,

Tribune

- Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic Associés

Par décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Illustration Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Illustration Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.