Publicité en cours de chargement...
Maîtriser la sécurité de son SI : l’exemple du CHU de Nantes
29 nov. 2016 - 09:54,
Actualité - DSIH, Propos recueillis par Valentine Bellanger
Les experts mondiaux annoncent une multiplication des cyberattaques pour l’année 2017 avec, en ligne de mire, le nouvel or noir : les données personnelles en général et celles de santé en particulier. Entretien avec Cédric Cartau, Ciso & DPO du CHU de Nantes et utilisateur de la solution IKare d’ITrust, société d’expertise en cybersécurité labellisée France Cybersécurité, qui revient sur la nécessité d’auditer régulièrement son SI afin de maîtriser le risque lié aux vulnérabilités.
DSIH : Quel est l’état de la sécurité des plateformes techniques au sein des établissements de santé ?
Cédric Cartau : Globalement, la protection périmétrique existe (pare-feu, proxy, etc.), mais on observe une importante diversité dans l’âge moyen des équipements (on trouve des établissements avec des pare-feu de 10 ans d’âge) et dans les processus de mise à jour des patches de sécurité, qui sont indispensables dans ce domaine.
Pour exemple, un PC branché nu (sans pare-feu ni AV) sur Internet est infecté en moins de 15 minutes.
Parmi les règles de base, il est donc nécessaire de contrôler, d’auditer ?
C.C : Oui, parmi les bonnes pratiques, il faut auditer régulièrement la protection périmétrique d’un établissement. Peu le font, essentiellement pour des raisons moyennement avouables du genre : « n’allons pas regarder s’il y a des problèmes ; nous pourrons ainsi nous convaincre qu’il n’y en a pas » !
Le CHU de Nantes est un des rares établissements à procéder depuis 2009 à des audits au moins annuels de sa surface d’exposition Internet, audits qui sont maintenant réalisés de façon hebdomadaire avec des outils automatisés.
Quel est l’intérêt des scanners de vulnérabilité ? Quelle est la particularité d’IKare, celui d’ITrust ?
C.C : Les deux principaux intérêts de ces outils sont :
– le coût : un audit « manuel » d’une surface Web d’environ 60 IP coûte environ 5 000 euros ; c’est le budget annuel d’acquisition d’une plateforme, avec laquelle on pourra faire autant d’audits que l’on souhaite ;
– la réactivité : avec des plateformes automatisées, on peut lancer un audit spécifique ciblé, par exemple à chaque ajout d’une machine dans la DMZ, et ce en trois clics de souris.
La particularité d’ITrust est d’abord d’être une société française. En tant que RSSI d’un organisme d’État d’importance stratégique, ce critère est selon moi très important, tout du moins à fonctionnalités et prix identiques par rapport aux produits de la concurrence, essentiellement anglo-saxons. Et justement, le niveau fonctionnel du produit IKare est tout à fait comparable à celui des grands du secteur, avec des tarifs tout à fait compétitifs.
Avez-vous apprécié ce contenu ?
A lire également.
Yuno by XMCO, l’outil de veille cyber qui facilite le quotidien des DSI et RSSI
09 mai 2023 - 10:51,
Actualité
- DSIHYuno, la solution de veille en cybersécurité de l’éditeur XMCO, permet à ses utilisateurs de bénéficier d’un suivi personnalisé des vulné rabilités de leurs équipements. Stéphane Duchesne, RSSI du CHU de La Réunion, nous présente les avantages de la solution.
RSSI : stupide tentative de classification
09 sept. 2019 - 20:04,
Tribune
- Cédric CartauStupide car, généralement, quand vous essayez de classifier ce type de fonction un peu bizarre au sein de l’organisation, la plupart de vos interlocuteurs ne manquent pas de vous faire remarquer que vous oubliez tel ou tel aspect de la question, qu’un de leurs confrères ne rentre pas dans le moule, ...
L’intelligence artificielle, un élément clé de la cybersécurité
29 avril 2019 - 11:30,
Actualité
- DSIH, Pierre DerrouchLe 19 avril dernier, l’Anssi, l’Agence nationale de la sécurité des systèmes d’information, rendait public son rapport annuel. Guillaume Poupard, directeur général de l’Agence, y indique que « 2018 prouve une nouvelle fois que le risque numérique, loin d’être éthéré, doit être au cœur de nos préoccu...
