Publicité en cours de chargement...
La cyber confrontée à la question des accès fournisseurs
À ce stade des investigations, je ne ferai aucun commentaire sur qui, quoi, quand, comment, où, pourquoi, mais parmi les sujets qui sont impactés par cette attaque il y a celui des accès des fournisseurs à nos SI. On a vu en effet au même moment une communication d’un éditeur (EDL en l’occurrence) affirmant qu’un compte obsolète (d’accès en télémaintenance s’entend) était toujours présent chez certains de ses clients et qu’il convenait de changer dare-dare le mot de passe.
Article connexe → 2023 : Une nouvelle année sans incidents cyber
Dans des articles précédents, j’avais déjà soulevé la question des accès fournisseurs aux SI, qui finissent par avoir davantage de privilèges que nos propres agents à qui on impose du MFA à tour de bras, non seulement pour les accès externes (télétravail), mais aussi en interne (déploiement de cartes à puce pour les connexions de session avec une authentification SSO pour le volet applicatif, l’état de l’art en somme). On enquiquine plus le médecin en lui demandant des comptes pour savoir pourquoi il a accédé à telle donnée de tel patient à telle heure que le technicien de Bangalore qui peut à 8 000 bornes de distance consulter la totalité des données médicales de tous les patients d’un GHT sans aucun contrôle.
Pour ce qui concerne les accès fournisseurs, la plupart du temps, c’est la fête au village : accès en simple login/password, canal d’accès ouvert 24/365, rebond direct de la passerelle VPN sur le système interne (un serveur, un système Scada, etc.), le tout sans prévenir, sans rapport d’intervention (ben oui quoi, c’est du temps perdu une fiche de traçabilité, hein ?), et encore quand on n’a pas affaire à des accès LAN to LAN depuis des plateformes internationales centralisées en Inde (c’est du vécu).
Dans ces conditions, vous avez deux versions du futur proche : soit nous anticipons, soit nous attendons comme des crétins qu’un gros incident se produise dans un grand CHU et qu’une injonction nous arrive dans les 48 heures de l’Anssi, du ministère, de la DGSE ou autre, nous intimant de verrouiller tout ce foutoir – et ce pour avant-avant-hier (et, entre nous, ils n’auront pas tout à fait tort).
Que vous le vouliez ou non, voilà ce qui nous attend (et ce n’est jamais que l’application du Zero Trust, même pas extrémiste) :
– Fermeture des accès par défaut (le compte fournisseur existe, mais reste bloqué par défaut en attendant un déblocage manuel nécessitant une intervention humaine d’un agent de la DSI) ;
– Déblocage d’un accès uniquement sur demande écrite et motivée, provenant d’une adresse mail référencée sur la fiche fournisseur ;
– Rappel par les équipes d’exploitation d’un numéro (également référencé) demandant un élément de confirmation (par exemple un code ou un numéro dédié à chaque client, déterminé à la mise en place du canal de télémaintenance), avec connexion possible seulement après activation du compte ;
– Reverrouillage du compte après l’intervention, soit manuellement soit par script automatisé ;
– Rupture de flux, seule la prise de main à distance sur un terminal est autorisée, aucun accès VPN direct ;
– Filtrage sur une adresse IP fixe, fournie par le prestataire au moment de la mise en place du contrat, ce qui signifie, entre autres, que les agents du fournisseur devront repasser par l’IP de sortie de leur employeur pour les accès distants en télémaintenance, y compris lorsqu’ils sont en télétravail ;
– Géoblocking généralisé aux IP européennes ; il appartiendra au client de mettre en place, dans son infrastructure et à ses frais, des IP européennes de sortie avec des back-up (le géoblocking produit de faux positifs) ;
– Durée d’un compte fournisseur strictement limité à la durée du marché ;
– Obligation contractuelle du fournisseur de signaler tout changement et tout incident ;
– MFA à mettre en place, par le fournisseur sur son propre SI, avec obligation contractuelle, pour sécuriser les accès télémaintenance sortants (imposer le MFA en entrée de votre VPN/bastion relève de la gageure) ;
– Fin des accès LAN to LAN (avec l’impact que vous pouvez imaginer sur la continuité de service) ;
– Séparation entre les accès sortants (pour la télésupervision d’équipements) et les accès entrants ; attention, ce point est très complexe, et pas mal de fournisseurs, surtout côté biomédical, cherchent actuellement à le contourner ;
– Obligation réglementaire du fournisseur de former ses agents, y compris ses prestataires en sous-traitance, avec preuve de formation, à renouveler a minima tous les trois ans ;
– Modification des contrats pour engager, civilement et pénalement, le fournisseur en cas de manquement à ses obligations réglementaires (identifiants dans la nature, MFA non implémentée, formations non suivies, etc.).
Il ne faut pas croire que les fournisseurs sont les seuls concernés : ces changements ont également de lourdes conséquences sur les équipes internes, auxquelles les obligations de formation s’appliquent aussi, avec un impact sur la charge et la couverture horaire d’une DSI pour être en mesure de procéder à des ouvertures d’accès 24/365, etc.
Dit autrement et pour être plus clair : on est juste au début des ennuis…
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.
Avez-vous apprécié ce contenu ?
A lire également.

PHAST pour la mise en œuvre des terminologies LOINC et SNOMED CT
26 août 2025 - 08:46,
Actualité
- DSIH, Damien DuboisFin juillet, l’opérateur d’interopérabilité sémantique PHAST a annoncé la sélection de son consortium par l’Agence du numérique en santé pour porter le marché de la mise en œuvre des terminologies LOINC et SNOMED CT.

Un starter kit enrichi pour faciliter les demandes d’autorisation à la Cnil
26 août 2025 - 08:44,
Actualité
- DSIH, Damien DuboisDepuis cet été, le starter kit d’accompagnement à la demande d’autorisation Cnil du Health Data Hub intègre de nouveaux outils pédagogiques. Ils aident les porteurs de projet à en évaluer l’éligibilité à une procédure simplifiée d’accès aux données de santé.

Trophées de la e-santé 2025 : cap sur les innovations qui transforment le soin
25 août 2025 - 14:46,
Brève
- DSIHLa 19ᵉ édition des Trophées de la e-santé est officiellement lancée. Véritable vitrine de l’innovation en santé numérique, cette compétition nationale – moment fort de l’Université de la e-santé – mettra en lumière, en novembre prochain, les solutions digitales les plus prometteuses pour améliorer l...

Pilotage des blocs opératoires : l’Anap dévoile une plateforme numérique intégrée pour améliorer la performance et la gouvernance
08 juil. 2025 - 00:26,
Actualité
- DSIHL’Agence nationale de la performance sanitaire et médico-sociale (Anap) franchit un nouveau cap dans le soutien aux établissements de santé avec le lancement d’une plateforme numérique unique dédiée à l’optimisation des blocs opératoires. Ce nouvel outil regroupe 22 ressources opérationnelles destin...