Publicité en cours de chargement...

Publicité en cours de chargement...

Une bonne résolution : appliquer les mises à jour de sécurité

26 sept. 2016 - 16:58,
Tribune - Charles Blanc-Rolin
Mettre à jour systèmes d’exploitation, navigateurs, suites bureautiques et la totalité des logiciels installés sur l’ensemble de son parc informatique fait partie des bases de la sécurité des systèmes d’information.

Pourquoi effectuer les mises à jour de sécurité ? 

Le code, toujours imparfait, les nouvelles fonctionnalités, le développement réalisé de plus en plus dans la précipitation, et des attaquants, toujours quête de ces imperfections, font que les applicatifs en tout genre voient leur vulnérabilité augmenter au fil des mises à jour de sécurité ratées. 

Mettons de côté les vulnérabilités non connues publiquement, et pour lesquelles il nous est impossible d’agir à notre niveau (nous ne sommes pas des chercheurs en sécurité), lorsque des correctifs de sécurité sont publiés par les éditeurs ou que des failles sont rendues publiques, il nous est possible d’agir, soit en « patchant » soit en « fermant des portes » pour contourner des failles connues pas encore corrigées.

Quels sont les risques si l’on n’effectue pas ces mises à jour ?

Ils peuvent être nombreux et assez variables, infection d’un poste utilisateur, d’un serveur, d’un réseau, du SIH tout entier.
Il en va de l’indisponibilité d’un poste utilisateur à l’ensemble du SI, plus grave encore lorsque l’intégrité des données est touchée ou que les données de santé s’évaporent dans la nature.

À quel rythme doit-on les réaliser ?

Suivant les éditeurs, les mises à jour sont publiées à intervalles plus ou moins réguliers. Par exemple, Microsoft publie généralement ses mises à jour entre le 10 et le 15 de chaque mois, alors que Debian délivre des patchs au fil de l’eau (il peut y en avoir plusieurs par semaine).
Le mois de septembre, qui n’est pas encore terminé, voit déjà un nombre record de mises à jour, tous logiciels confondus (Windows, Office, Flash Player, Debian, Chrome, Firefox, Mac OS, iOS, VMware, Citrix, Cisco, Juniper, Asterisk…)

Comment savoir quand ces mises à jour sont disponibles ? 

C’est assez difficile d’avoir une vision globale. Suivant les éditeurs, il est possible de s’inscrire à des mailing lists sur les disponibilités des mises à jour de sécurité ou de s’abonner aux flux RSS des éditeurs annonçant les diffusions de patchs. Il peut être intéressant également de s’abonner au flux RSS du CERT-FR de l’ANSSI qui regroupe les publications sur les failles et les mises à jour d’une bonne partie des « applicatifs génériques » utilisés dans nos établissements. Par ailleurs, l’ANSM diffuse par mail des alertes sur les vulnérabilités et les mises à jour d’applicatifs médicaux (intégrés ou non à des dispositifs médicaux) parmi tous les produits de santé (le tri n’est pas toujours évident). Pour résumer, il n’est pas simple d’arriver à centraliser l’ensemble de ces informations. C’est ce que j’ai essayé de lancer avec les rubriques « Sécurité » sur Forum SIH.
Pour ce qui est des informations sur les vulnérabilités, il est possible de les retrouver sur les différents services proposés par OVAL sur lesquels les « scanners de vulnérabilité » s’appuient pour détecter les systèmes vulnérables.
L’utilisation de ces mêmes scanners pour auditer son SI peut également permettre de prendre conscience qu’il est temps d’agir !

Quels sont les freins à la réalisation des mises à jour ?

Activer les mises à jour automatiques sur tous les systèmes pourrait apparaître comme la solution idéale ! Si elle l’est pour l’ordinateur personnel de Mme Michu, au sein du SIH, c’est un peu différent. Pour commencer, tous les systèmes ne permettent pas d’effectuer des mises à jour automatiquement, comme les équipements réseau par exemple. Ensuite, activer les mises à jour automatiques sur des serveurs en production n’est pas recommandé : imaginez la situation en cas de bug sur une mise à jour non maîtrisée par les administrateurs ou un redémarrage intempestif pendant le processus de mise à jour sans que les utilisateurs aient été informés.
La continuité d’activité est un frein majeur à la réalisation des mises à jour ; il faut les planifier, prendre les précautions nécessaires, prévenir les services, mettre en place des procédures dégradées. Dans un établissement de santé fonctionnant H24, ce n’est pas anodin de rendre indisponible un DPI ou la traçabilité d’un dépôt de délivrance.
Autre énorme frein, la compatibilité avec les applicatifs métiers dont nous sommes bien souvent dépendants pour la réalisation des mises à jour. Par exemple l’éditeur du DPI qui n’a pas qualifié la dernière version du navigateur utilisé pour y accéder ou du système de gestion de base de données stockant l’ensemble des informations. Il nous faut donc choisir entre « boucher les trous » de sécurité et continuer à utiliser le DPI. Dans un hôpital, le choix est vite fait !
Autre type d’équipements spécifiques au secteur de la santé pour lesquels il est carrément impossible d’appliquer des patchs de sécurité « systèmes » sans une intervention du constructeur : les appareils biomédicaux (voir le prochain magazine DSIH papier).
Et c’est comme ça que l’on se retrouve avec des systèmes vulnérables.

Pour résumer, maintenir le SIH de son établissement à jour des vulnérabilités n’est pas des plus simples, mais faire le maximum pour « boucher les trous » est indispensable pour éviter de couler !

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Appel à projet cybersécurité : l’ARS Auvergne-Rhône-Alpes soutient l’innovation en établissements de santé

Appel à projet cybersécurité : l’ARS Auvergne-Rhône-Alpes soutient l’innovation en établissements de santé

06 juin 2025 - 18:52,

Actualité

- DSIH

L’Agence régionale de santé Auvergne-Rhône-Alpes lance un appel à projet pour expérimenter des solutions innovantes en cybersécurité dans les établissements sanitaires et médico-sociaux. Les candidatures sont ouvertes jusqu’au 30 juin 2025. L’initiative s’inscrit dans le cadre du programme CaRE, pou...

Illustration Libérer du temps soignant et sécuriser les approvisionnements : deux priorités au cœur de la stratégie logistique de l’Anap

Libérer du temps soignant et sécuriser les approvisionnements : deux priorités au cœur de la stratégie logistique de l’Anap

06 juin 2025 - 18:32,

Actualité

- DSIH

Face aux tensions sur les organisations hospitalières, l’Agence nationale de la performance sanitaire et médico-sociale (Anap) renforce son engagement aux côtés des établissements avec deux outils complémentaires :

Illustration Le Health Data Hub sélectionne huit nouveaux projets pour enrichir sa bibliothèque open source d’algorithmes en santé

Le Health Data Hub sélectionne huit nouveaux projets pour enrichir sa bibliothèque open source d’algorithmes en santé

04 juin 2025 - 13:10,

Communiqué

- Le Health Data Hub

À l’occasion de la Journée de l’open science en santé, organisée ce 4 juin 2025 à PariSanté Campus, le Health Data Hub (HDH) annonce les huit lauréats de la 8e vague de son appel à manifestation d’intérêt (AMI) dédié à la Bibliothèque Ouverte d’Algorithmes en Santé (BOAS). Cet appel à projets, lancé...

Illustration MentalTech, vers un Observatoire français de la e-santé mentale

MentalTech, vers un Observatoire français de la e-santé mentale

02 juin 2025 - 22:20,

Actualité

- Damien Dubois, DSIH

Le 21 mai, le collectif MentalTech a annoncé l’arrivée de dix nouveaux membres et dévoilé sa feuille de route 2025 avec pour ambition de s’affirmer comme l’Observatoire de la e-santé mentale.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.