Publicité en cours de chargement...

Publicité en cours de chargement...

La cyber confrontée à la question des accès fournisseurs

27 juin 2023 - 10:05,
Tribune - Cédric Cartau
Impossible d’être passé à côté, l’actualité de cette semaine concerne l’attaque cyber dont a été victime le CHU de Rennes.

À ce stade des investigations, je ne ferai aucun commentaire sur qui, quoi, quand, comment, où, pourquoi, mais parmi les sujets qui sont impactés par cette attaque il y a celui des accès des fournisseurs à nos SI. On a vu en effet au même moment une communication d’un éditeur (EDL en l’occurrence) affirmant qu’un compte obsolète (d’accès en télémaintenance s’entend) était toujours présent chez certains de ses clients et qu’il convenait de changer dare-dare le mot de passe.

Article connexe2023 : Une nouvelle année sans incidents cyber

Dans des articles précédents, j’avais déjà soulevé la question des accès fournisseurs aux SI, qui finissent par avoir davantage de privilèges que nos propres agents à qui on impose du MFA à tour de bras, non seulement pour les accès externes (télétravail), mais aussi en interne (déploiement de cartes à puce pour les connexions de session avec une authentification SSO pour le volet applicatif, l’état de l’art en somme). On enquiquine plus le médecin en lui demandant des comptes pour savoir pourquoi il a accédé à telle donnée de tel patient à telle heure que le technicien de Bangalore qui peut à 8 000 bornes de distance consulter la totalité des données médicales de tous les patients d’un GHT sans aucun contrôle.

Pour ce qui concerne les accès fournisseurs, la plupart du temps, c’est la fête au village : accès en simple login/password, canal d’accès ouvert 24/365, rebond direct de la passerelle VPN sur le système interne (un serveur, un système Scada, etc.), le tout sans prévenir, sans rapport d’intervention (ben oui quoi, c’est du temps perdu une fiche de traçabilité, hein ?), et encore quand on n’a pas affaire à des accès LAN to LAN depuis des plateformes internationales centralisées en Inde (c’est du vécu).

Dans ces conditions, vous avez deux versions du futur proche : soit nous anticipons, soit nous attendons comme des crétins qu’un gros incident se produise dans un grand CHU et qu’une injonction nous arrive dans les 48 heures de l’Anssi, du ministère, de la DGSE ou autre, nous intimant de verrouiller tout ce foutoir – et ce pour avant-avant-hier (et, entre nous, ils n’auront pas tout à fait tort).

Que vous le vouliez ou non, voilà ce qui nous attend (et ce n’est jamais que l’application du Zero Trust, même pas extrémiste) :

– Fermeture des accès par défaut (le compte fournisseur existe, mais reste bloqué par défaut en attendant un déblocage manuel nécessitant une intervention humaine d’un agent de la DSI) ;

– Déblocage d’un accès uniquement sur demande écrite et motivée, provenant d’une adresse mail référencée sur la fiche fournisseur ;

– Rappel par les équipes d’exploitation d’un numéro (également référencé) demandant un élément de confirmation (par exemple un code ou un numéro dédié à chaque client, déterminé à la mise en place du canal de télémaintenance), avec connexion possible seulement après activation du compte ;

– Reverrouillage du compte après l’intervention, soit manuellement soit par script automatisé ;

– Rupture de flux, seule la prise de main à distance sur un terminal est autorisée, aucun accès VPN direct ;

– Filtrage sur une adresse IP fixe, fournie par le prestataire au moment de la mise en place du contrat, ce qui signifie, entre autres, que les agents du fournisseur devront repasser par l’IP de sortie de leur employeur pour les accès distants en télémaintenance, y compris lorsqu’ils sont en télétravail ;

– Géoblocking généralisé aux IP européennes ; il appartiendra au client de mettre en place, dans son infrastructure et à ses frais, des IP européennes de sortie avec des back-up (le géoblocking produit de faux positifs) ;

– Durée d’un compte fournisseur strictement limité à la durée du marché ;

– Obligation contractuelle du fournisseur de signaler tout changement et tout incident ;

– MFA à mettre en place, par le fournisseur sur son propre SI, avec obligation contractuelle, pour sécuriser les accès télémaintenance sortants (imposer le MFA en entrée de votre VPN/bastion relève de la gageure) ;

– Fin des accès LAN to LAN (avec l’impact que vous pouvez imaginer sur la continuité de service) ;

– Séparation entre les accès sortants (pour la télésupervision d’équipements) et les accès entrants ; attention, ce point est très complexe, et pas mal de fournisseurs, surtout côté biomédical, cherchent actuellement à le contourner ;

– Obligation réglementaire du fournisseur de former ses agents, y compris ses prestataires en sous-traitance, avec preuve de formation, à renouveler a minima tous les trois ans ;

– Modification des contrats pour engager, civilement et pénalement, le fournisseur en cas de manquement à ses obligations réglementaires (identifiants dans la nature, MFA non implémentée, formations non suivies, etc.).

 Il ne faut pas croire que les fournisseurs sont les seuls concernés : ces changements ont également de lourdes conséquences sur les équipes internes, auxquelles les obligations de formation s’appliquent aussi, avec un impact sur la charge et la couverture horaire d’une DSI pour être en mesure de procéder à des ouvertures d’accès 24/365, etc.

Dit autrement et pour être plus clair : on est juste au début des ennuis…


L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration PHAST pour la mise en œuvre des terminologies LOINC et SNOMED CT

PHAST pour la mise en œuvre des terminologies LOINC et SNOMED CT

26 août 2025 - 08:46,

Actualité

- DSIH, Damien Dubois

Fin juillet, l’opérateur d’interopérabilité sémantique PHAST a annoncé la sélection de son consortium par l’Agence du numérique en santé pour porter le marché de la mise en œuvre des terminologies LOINC et SNOMED CT.

Illustration Un starter kit enrichi pour faciliter les demandes d’autorisation à la Cnil

Un starter kit enrichi pour faciliter les demandes d’autorisation à la Cnil

26 août 2025 - 08:44,

Actualité

- DSIH, Damien Dubois

Depuis cet été, le starter kit d’accompagnement à la demande d’autorisation Cnil du Health Data Hub intègre de nouveaux outils pédagogiques. Ils aident les porteurs de projet à en évaluer l’éligibilité à une procédure simplifiée d’accès aux données de santé.

Illustration Trophées de la e-santé 2025 : cap sur les innovations qui transforment le soin

Trophées de la e-santé 2025 : cap sur les innovations qui transforment le soin

25 août 2025 - 14:46,

Brève

- DSIH

La 19ᵉ édition des Trophées de la e-santé est officiellement lancée. Véritable vitrine de l’innovation en santé numérique, cette compétition nationale – moment fort de l’Université de la e-santé – mettra en lumière, en novembre prochain, les solutions digitales les plus prometteuses pour améliorer l...

Illustration Pilotage des blocs opératoires : l’Anap dévoile une plateforme numérique intégrée pour améliorer la performance et la gouvernance

Pilotage des blocs opératoires : l’Anap dévoile une plateforme numérique intégrée pour améliorer la performance et la gouvernance

08 juil. 2025 - 00:26,

Actualité

- DSIH

L’Agence nationale de la performance sanitaire et médico-sociale (Anap) franchit un nouveau cap dans le soutien aux établissements de santé avec le lancement d’une plateforme numérique unique dédiée à l’optimisation des blocs opératoires. Ce nouvel outil regroupe 22 ressources opérationnelles destin...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.