Publicité en cours de chargement...

Publicité en cours de chargement...

Une bonne résolution : appliquer les mises à jour de sécurité

26 sept. 2016 - 16:58,
Tribune - Charles Blanc-Rolin
Mettre à jour systèmes d’exploitation, navigateurs, suites bureautiques et la totalité des logiciels installés sur l’ensemble de son parc informatique fait partie des bases de la sécurité des systèmes d’information.

Pourquoi effectuer les mises à jour de sécurité ? 

Le code, toujours imparfait, les nouvelles fonctionnalités, le développement réalisé de plus en plus dans la précipitation, et des attaquants, toujours quête de ces imperfections, font que les applicatifs en tout genre voient leur vulnérabilité augmenter au fil des mises à jour de sécurité ratées. 

Mettons de côté les vulnérabilités non connues publiquement, et pour lesquelles il nous est impossible d’agir à notre niveau (nous ne sommes pas des chercheurs en sécurité), lorsque des correctifs de sécurité sont publiés par les éditeurs ou que des failles sont rendues publiques, il nous est possible d’agir, soit en « patchant » soit en « fermant des portes » pour contourner des failles connues pas encore corrigées.

Quels sont les risques si l’on n’effectue pas ces mises à jour ?

Ils peuvent être nombreux et assez variables, infection d’un poste utilisateur, d’un serveur, d’un réseau, du SIH tout entier.
Il en va de l’indisponibilité d’un poste utilisateur à l’ensemble du SI, plus grave encore lorsque l’intégrité des données est touchée ou que les données de santé s’évaporent dans la nature.

À quel rythme doit-on les réaliser ?

Suivant les éditeurs, les mises à jour sont publiées à intervalles plus ou moins réguliers. Par exemple, Microsoft publie généralement ses mises à jour entre le 10 et le 15 de chaque mois, alors que Debian délivre des patchs au fil de l’eau (il peut y en avoir plusieurs par semaine).
Le mois de septembre, qui n’est pas encore terminé, voit déjà un nombre record de mises à jour, tous logiciels confondus (Windows, Office, Flash Player, Debian, Chrome, Firefox, Mac OS, iOS, VMware, Citrix, Cisco, Juniper, Asterisk…)

Comment savoir quand ces mises à jour sont disponibles ? 

C’est assez difficile d’avoir une vision globale. Suivant les éditeurs, il est possible de s’inscrire à des mailing lists sur les disponibilités des mises à jour de sécurité ou de s’abonner aux flux RSS des éditeurs annonçant les diffusions de patchs. Il peut être intéressant également de s’abonner au flux RSS du CERT-FR de l’ANSSI qui regroupe les publications sur les failles et les mises à jour d’une bonne partie des « applicatifs génériques » utilisés dans nos établissements. Par ailleurs, l’ANSM diffuse par mail des alertes sur les vulnérabilités et les mises à jour d’applicatifs médicaux (intégrés ou non à des dispositifs médicaux) parmi tous les produits de santé (le tri n’est pas toujours évident). Pour résumer, il n’est pas simple d’arriver à centraliser l’ensemble de ces informations. C’est ce que j’ai essayé de lancer avec les rubriques « Sécurité » sur Forum SIH.
Pour ce qui est des informations sur les vulnérabilités, il est possible de les retrouver sur les différents services proposés par OVAL sur lesquels les « scanners de vulnérabilité » s’appuient pour détecter les systèmes vulnérables.
L’utilisation de ces mêmes scanners pour auditer son SI peut également permettre de prendre conscience qu’il est temps d’agir !

Quels sont les freins à la réalisation des mises à jour ?

Activer les mises à jour automatiques sur tous les systèmes pourrait apparaître comme la solution idéale ! Si elle l’est pour l’ordinateur personnel de Mme Michu, au sein du SIH, c’est un peu différent. Pour commencer, tous les systèmes ne permettent pas d’effectuer des mises à jour automatiquement, comme les équipements réseau par exemple. Ensuite, activer les mises à jour automatiques sur des serveurs en production n’est pas recommandé : imaginez la situation en cas de bug sur une mise à jour non maîtrisée par les administrateurs ou un redémarrage intempestif pendant le processus de mise à jour sans que les utilisateurs aient été informés.
La continuité d’activité est un frein majeur à la réalisation des mises à jour ; il faut les planifier, prendre les précautions nécessaires, prévenir les services, mettre en place des procédures dégradées. Dans un établissement de santé fonctionnant H24, ce n’est pas anodin de rendre indisponible un DPI ou la traçabilité d’un dépôt de délivrance.
Autre énorme frein, la compatibilité avec les applicatifs métiers dont nous sommes bien souvent dépendants pour la réalisation des mises à jour. Par exemple l’éditeur du DPI qui n’a pas qualifié la dernière version du navigateur utilisé pour y accéder ou du système de gestion de base de données stockant l’ensemble des informations. Il nous faut donc choisir entre « boucher les trous » de sécurité et continuer à utiliser le DPI. Dans un hôpital, le choix est vite fait !
Autre type d’équipements spécifiques au secteur de la santé pour lesquels il est carrément impossible d’appliquer des patchs de sécurité « systèmes » sans une intervention du constructeur : les appareils biomédicaux (voir le prochain magazine DSIH papier).
Et c’est comme ça que l’on se retrouve avec des systèmes vulnérables.

Pour résumer, maintenir le SIH de son établissement à jour des vulnérabilités n’est pas des plus simples, mais faire le maximum pour « boucher les trous » est indispensable pour éviter de couler !

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

02 mai 2025 - 16:13,

Tribune

- Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic Associés

Par décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Illustration Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Illustration Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

Illustration L’arnaque à l’arrêt de travail comme source de réflexion

L’arnaque à l’arrêt de travail comme source de réflexion

14 avril 2025 - 21:57,

Tribune

-
Cédric Cartau

Soupçonné d’avoir mis en place un site Web permettant d’acheter de « faux » arrêts de travail en quelques clics et pour 9 euros seulement, un jeune homme de 22 ans originaire des Landes est sous le coup d’une accusation et de poursuites diverses. Les faux arrêts de travail étaient générés automatiqu...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.