Lettre ouverte d’un RSSI excédé à certains fabricants de systèmes embarqués non protégés

Mesdames, Messieurs,

Ce billet d’humeur pour vous dire que j’en ai ras la casquette ISO 27000 des ennuis dans lesquels nous plongent vos systèmes embarqués non protégés en matière de sécurité informatique basique.

Encore cette semaine, un article de BBC News[1] enfonce le clou : des milliers de bugs découverts dans le code embarqué de systèmes tels que des pacemakers, pompes à insuline et autres équipements dont tout le monde conviendra de la haute criticité en matière de sécurité pour le patient. L’étude précise en outre que seuls 9 % des fabricants testent la sécurité de leur dispositif (les 91 % restants doivent certainement être pris par leur séminaire dans les Caraïbes) et que 49 % d’entre eux ne tiennent pas compte des conseils de la toute-puissante FDA américaine pour sécuriser leurs dispositifs (et quand on sait le poids de la FDA outre-Atlantique, cela fait peur pour l’Europe).

En 2008, nous avons affronté Conficker, qui est dans la plupart des cas arrivé par les systèmes embarqués, et qui est toujours présent sur certains d’entre eux neuf années plus tard ! Cette semaine, nous venons, nous RSSI, de vivre un épisode WannaCry pénible lors duquel nous avons dû mettre une pression terrible sur nos équipes SI pour patcher à tour de bras ce qui pouvait l’être (serveurs, PC, etc.). Dans l’ensemble, les dispositifs connus et maîtrisés par nos DSI sont à jour mais, encore une fois, mes confrères et moi butons sur vos matériels, pour lequel on nous explique depuis des années que, si on installe un antivirus ou un patch sans votre accord, la garantie CE tombe. 

Alors je vous le dis, j’en ai assez, et je pense que toute la profession en conviendra. J’en ai assez de quémander des matériels dont le niveau de sécurité respecte les standards, j’en ai assez de m’entendre dire que, si les équipes SI ou biomed touchent à un octet de vos configurations, vous vous déchargez de toute responsabilité, j’en ai assez de vos pratiques IT d’un autre âge (vos pratiques commerciales, quand je vois les devis, suivent en revanche parfaitement l’indice des prix), j’en ai assez que les équipes DSI de mon établissement soient obligées de se contorsionner pour trouver des parades à votre incurie crasse, j’en ai assez que mon établissement (corps médical, décideurs, DSI, ingénieurs biomédicaux, biologistes, excusez du peu) assume vis-à-vis des patients le risque (en termes de soins, moral, juridique, excusez encore du peu) d’attaque et de dysfonctionnement de vos matériels suite, par exemple, à une infection virale, et vous… rien.

Les arguments techniques que certains d’entre vous servez depuis des années pour justifier cette incurie feraient se gondoler n’importe quel industriel officiant dans un milieu critique (aéronautique, spatial, etc.). Un antivirus ralentirait les machines : bullshit. Une mise à jour de patch, et il faut tout retester ? Si tel est le cas, c’est que vous concevez et construisez comme des pieds. Mettre un autre mot de passe admin par défaut que 12345678, c’est trop compliqué ? Ne pas activer les services inutiles tels que FTP ou SMB, c’est pas prévu à l’origine ? Il y a 20 ans, on nous expliquait avec force détails qu’il fallait un réseau physiquement séparé pour faire fonctionner vos engins, il vous aura fallu 20 ans pour comprendre que les réseaux switchés fonctionnent très bien.

Alors il semble nécessaire de changer de ton.

Dorénavant, je vous interrogerai sur votre capacité à livrer des matériels et des systèmes qui respectent les standards de la sécurité IT et OT (cela s’appelle, si vous ne le savez pas, le maintien en condition de sécurité) : patches réguliers et systématiques, protection antivirale. Et je m’arroge le droit (votre avis ne m’intéresse pas) de publier vos réponses ou non-réponses dans la presse nationale.

Dorénavant, si j’estime qu’un de vos matériels est à patcher en urgence, je le ferai sans vous demander votre accord. Cela ne vous plaît pas ? Prouvez-moi que ce sont mes équipes qui l’on fait et pas les vôtres lors d’une intervention non tracée. Bon courage : parole contre parole.

Dorénavant, si un équipement est dans un état délabré, je le signalerai à toutes les tutelles, comme nous l’impose le récent décret de signalement des incidents : un équipement non protégé, c’est un incident (et que vous soyez d’accord ou pas avec cette interprétation des textes, je m’en moque comme de mon premier ZX81).

Dorénavant, je me débrouillerai pour exclure des marchés tous les canards boiteux de la sécurité des SI. Vous voulez parier que cela fonctionne ? Je connais un CHU qui a éjecté des poids lourds d’un appel d’offres Pacs, pour en retenir un plus petit qui acceptait les antivirus sur les stations d’interprétation (et aucun ralentissement observé à ce jour). Et pour terminer, je vais profiter du nouveau règlement RGPD. Non seulement il impute une part de la responsabilité aux sous-traitants en cas de manquement à la sécurisation des données, mais surtout il me fournit l’arme qui manquait jusqu’à présent : ce règlement va nous obliger à brève échéance à ne travailler qu’avec des prestataires qui respectent ce texte et notamment un ensemble d’engagements en matière de sécurité (avec garanties contractuelles à la clé). J’en conviens, il ne restera pas grand monde, mais il permettra de vite distinguer les vrais professionnels consciencieux parmi vous.

[1]   http://www.bbc.com/news/technology-40042584