Publicité en cours de chargement...

Publicité en cours de chargement...

Lettre ouverte d’un RSSI excédé à certains fabricants de systèmes embarqués non protégés

06 juin 2017 - 10:45,
Tribune - Cédric Cartau
                                            

Mesdames, Messieurs,

Ce billet d’humeur pour vous dire que j’en ai ras la casquette ISO 27000 des ennuis dans lesquels nous plongent vos systèmes embarqués non protégés en matière de sécurité informatique basique.

Encore cette semaine, un article de BBC News[1] enfonce le clou : des milliers de bugs découverts dans le code embarqué de systèmes tels que des pacemakers, pompes à insuline et autres équipements dont tout le monde conviendra de la haute criticité en matière de sécurité pour le patient. L’étude précise en outre que seuls 9 % des fabricants testent la sécurité de leur dispositif (les 91 % restants doivent certainement être pris par leur séminaire dans les Caraïbes) et que 49 % d’entre eux ne tiennent pas compte des conseils de la toute-puissante FDA américaine pour sécuriser leurs dispositifs (et quand on sait le poids de la FDA outre-Atlantique, cela fait peur pour l’Europe).

En 2008, nous avons affronté Conficker, qui est dans la plupart des cas arrivé par les systèmes embarqués, et qui est toujours présent sur certains d’entre eux neuf années plus tard ! Cette semaine, nous venons, nous RSSI, de vivre un épisode WannaCry pénible lors duquel nous avons dû mettre une pression terrible sur nos équipes SI pour patcher à tour de bras ce qui pouvait l’être (serveurs, PC, etc.). Dans l’ensemble, les dispositifs connus et maîtrisés par nos DSI sont à jour mais, encore une fois, mes confrères et moi butons sur vos matériels, pour lequel on nous explique depuis des années que, si on installe un antivirus ou un patch sans votre accord, la garantie CE tombe. 

Alors je vous le dis, j’en ai assez, et je pense que toute la profession en conviendra. J’en ai assez de quémander des matériels dont le niveau de sécurité respecte les standards, j’en ai assez de m’entendre dire que, si les équipes SI ou biomed touchent à un octet de vos configurations, vous vous déchargez de toute responsabilité, j’en ai assez de vos pratiques IT d’un autre âge (vos pratiques commerciales, quand je vois les devis, suivent en revanche parfaitement l’indice des prix), j’en ai assez que les équipes DSI de mon établissement soient obligées de se contorsionner pour trouver des parades à votre incurie crasse, j’en ai assez que mon établissement (corps médical, décideurs, DSI, ingénieurs biomédicaux, biologistes, excusez du peu) assume vis-à-vis des patients le risque (en termes de soins, moral, juridique, excusez encore du peu) d’attaque et de dysfonctionnement de vos matériels suite, par exemple, à une infection virale, et vous… rien.

Les arguments techniques que certains d’entre vous servez depuis des années pour justifier cette incurie feraient se gondoler n’importe quel industriel officiant dans un milieu critique (aéronautique, spatial, etc.). Un antivirus ralentirait les machines : bullshit. Une mise à jour de patch, et il faut tout retester ? Si tel est le cas, c’est que vous concevez et construisez comme des pieds. Mettre un autre mot de passe admin par défaut que 12345678, c’est trop compliqué ? Ne pas activer les services inutiles tels que FTP ou SMB, c’est pas prévu à l’origine ? Il y a 20 ans, on nous expliquait avec force détails qu’il fallait un réseau physiquement séparé pour faire fonctionner vos engins, il vous aura fallu 20 ans pour comprendre que les réseaux switchés fonctionnent très bien.

Alors il semble nécessaire de changer de ton.

Dorénavant, je vous interrogerai sur votre capacité à livrer des matériels et des systèmes qui respectent les standards de la sécurité IT et OT (cela s’appelle, si vous ne le savez pas, le maintien en condition de sécurité) : patches réguliers et systématiques, protection antivirale. Et je m’arroge le droit (votre avis ne m’intéresse pas) de publier vos réponses ou non-réponses dans la presse nationale.

Dorénavant, si j’estime qu’un de vos matériels est à patcher en urgence, je le ferai sans vous demander votre accord. Cela ne vous plaît pas ? Prouvez-moi que ce sont mes équipes qui l’on fait et pas les vôtres lors d’une intervention non tracée. Bon courage : parole contre parole.

Dorénavant, si un équipement est dans un état délabré, je le signalerai à toutes les tutelles, comme nous l’impose le récent décret de signalement des incidents : un équipement non protégé, c’est un incident (et que vous soyez d’accord ou pas avec cette interprétation des textes, je m’en moque comme de mon premier ZX81).

Dorénavant, je me débrouillerai pour exclure des marchés tous les canards boiteux de la sécurité des SI. Vous voulez parier que cela fonctionne ? Je connais un CHU qui a éjecté des poids lourds d’un appel d’offres Pacs, pour en retenir un plus petit qui acceptait les antivirus sur les stations d’interprétation (et aucun ralentissement observé à ce jour). Et pour terminer, je vais profiter du nouveau règlement RGPD. Non seulement il impute une part de la responsabilité aux sous-traitants en cas de manquement à la sécurisation des données, mais surtout il me fournit l’arme qui manquait jusqu’à présent : ce règlement va nous obliger à brève échéance à ne travailler qu’avec des prestataires qui respectent ce texte et notamment un ensemble d’engagements en matière de sécurité (avec garanties contractuelles à la clé). J’en conviens, il ne restera pas grand monde, mais il permettra de vite distinguer les vrais professionnels consciencieux parmi vous.

[1]   http://www.bbc.com/news/technology-40042584

Avez-vous apprécié ce contenu ?

A lire également.

ethicovigilance-numerique-premiers-signaux-dalerte-dans-la-sante-connectee

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

le-ght-hopitaux-de-provence-optimise-ses-flux-patients-avec-la-solution-m-sesame-de-maincare

Le GHT Hôpitaux de Provence optimise ses flux patients avec la solution M-SESAME de Maincare

24 avril 2025 - 10:06,

Communiqué

- Maincare

Le GHT Hôpitaux de Provence, un des groupements hospitaliers les plus importants de France avec 13 établissements et un bassin de 2 millions d’habitants, a choisi la solution M-SESAME, développée par Atout Majeur Concept, distribuée et intégrée par Maincare, pour répondre à ses besoins en matière de...

le-groupe-softway-medical-accueille-bain-capital-europe-au-sein-de-sa-structure-capitalistique

Le Groupe Softway Medical accueille Bain Capital Europe au sein de sa structure capitalistique

22 avril 2025 - 15:27,

Communiqué

- Groupe Softway Medical

22 avril, 2025 – le Groupe Softway Medical, un leader européen des systèmes d’information en santé, à la fois éditeur, hébergeur et intégrateur pour les établissements de santé publics et privés en France, au Canada et à travers l’Europe, annonce aujourd’hui l’arrivée du fonds de capital-investissem...

lia-en-action-les-conditions-dun-deploiement-reussi-au-sein-des-equipes-de-soins

L’IA en action : les conditions d’un déploiement réussi au sein des équipes de soins

21 avril 2025 - 18:55,

Tribune

- Arnaud HAVE, Directeur Conseil Weliom

L’intégration de l’intelligence artificielle (IA) dans les établissements sanitaires et médico-sociaux représente un défi majeur – à la fois culturel, opérationnel et technique. Pour maximiser les bénéfices concrets de l’IA, les ambitions doivent être alignées sur la maturité de la structure, des éq...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.