La cyber confrontée à la question des accès fournisseurs

À ce stade des investigations, je ne ferai aucun commentaire sur qui, quoi, quand, comment, où, pourquoi, mais parmi les sujets qui sont impactés par cette attaque il y a celui des accès des fournisseurs à nos SI. On a vu en effet au même moment une communication d’un éditeur (EDL en l’occurrence) affirmant qu’un compte obsolète (d’accès en télémaintenance s’entend) était toujours présent chez certains de ses clients et qu’il convenait de changer dare-dare le mot de passe.

Dans des articles précédents, j’avais déjà soulevé la question des accès fournisseurs aux SI, qui finissent par avoir davantage de privilèges que nos propres agents à qui on impose du MFA à tour de bras, non seulement pour les accès externes (télétravail), mais aussi en interne (déploiement de cartes à puce pour les connexions de session avec une authentification SSO pour le volet applicatif, l’état de l’art en somme). On enquiquine plus le médecin en lui demandant des comptes pour savoir pourquoi il a accédé à telle donnée de tel patient à telle heure que le technicien de Bangalore qui peut à 8 000 bornes de distance consulter la totalité des données médicales de tous les patients d’un GHT sans aucun contrôle.

Pour ce qui concerne les accès fournisseurs, la plupart du temps, c’est la fête au village : accès en simple login/password, canal d’accès ouvert 24/365, rebond direct de la passerelle VPN sur le système interne (un serveur, un système Scada, etc.), le tout sans prévenir, sans rapport d’intervention (ben oui quoi, c’est du temps perdu une fiche de traçabilité, hein ?), et encore quand on n’a pas affaire à des accès LAN to LAN depuis des plateformes internationales centralisées en Inde (c’est du vécu).

Dans ces conditions, vous avez deux versions du futur proche : soit nous anticipons, soit nous attendons comme des crétins qu’un gros incident se produise dans un grand CHU et qu’une injonction nous arrive dans les 48 heures de l’Anssi, du ministère, de la DGSE ou autre, nous intimant de verrouiller tout ce foutoir – et ce pour avant-avant-hier (et, entre nous, ils n’auront pas tout à fait tort).

Que vous le vouliez ou non, voilà ce qui nous attend (et ce n’est jamais que l’application du Zero Trust, même pas extrémiste) :

– Fermeture des accès par défaut (le compte fournisseur existe, mais reste bloqué par défaut en attendant un déblocage manuel nécessitant une intervention humaine d’un agent de la DSI) ;

– Déblocage d’un accès uniquement sur demande écrite et motivée, provenant d’une adresse mail référencée sur la fiche fournisseur ;

– Rappel par les équipes d’exploitation d’un numéro (également référencé) demandant un élément de confirmation (par exemple un code ou un numéro dédié à chaque client, déterminé à la mise en place du canal de télémaintenance), avec connexion possible seulement après activation du compte ;

– Reverrouillage du compte après l’intervention, soit manuellement soit par script automatisé ;

– Rupture de flux, seule la prise de main à distance sur un terminal est autorisée, aucun accès VPN direct ;

– Filtrage sur une adresse IP fixe, fournie par le prestataire au moment de la mise en place du contrat, ce qui signifie, entre autres, que les agents du fournisseur devront repasser par l’IP de sortie de leur employeur pour les accès distants en télémaintenance, y compris lorsqu’ils sont en télétravail ;

– Géoblocking généralisé aux IP européennes ; il appartiendra au client de mettre en place, dans son infrastructure et à ses frais, des IP européennes de sortie avec des back-up (le géoblocking produit de faux positifs) ;

– Durée d’un compte fournisseur strictement limité à la durée du marché ;

– Obligation contractuelle du fournisseur de signaler tout changement et tout incident ;

– MFA à mettre en place, par le fournisseur sur son propre SI, avec obligation contractuelle, pour sécuriser les accès télémaintenance sortants (imposer le MFA en entrée de votre VPN/bastion relève de la gageure) ;

– Fin des accès LAN to LAN (avec l’impact que vous pouvez imaginer sur la continuité de service) ;

– Séparation entre les accès sortants (pour la télésupervision d’équipements) et les accès entrants ; attention, ce point est très complexe, et pas mal de fournisseurs, surtout côté biomédical, cherchent actuellement à le contourner ;

– Obligation réglementaire du fournisseur de former ses agents, y compris ses prestataires en sous-traitance, avec preuve de formation, à renouveler a minima tous les trois ans ;

– Modification des contrats pour engager, civilement et pénalement, le fournisseur en cas de manquement à ses obligations réglementaires (identifiants dans la nature, MFA non implémentée, formations non suivies, etc.).

 Il ne faut pas croire que les fournisseurs sont les seuls concernés : ces changements ont également de lourdes conséquences sur les équipes internes, auxquelles les obligations de formation s’appliquent aussi, avec un impact sur la charge et la couverture horaire d’une DSI pour être en mesure de procéder à des ouvertures d’accès 24/365, etc.

Dit autrement et pour être plus clair : on est juste au début des ennuis…

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.