Les bonnes résolutions pour 2020 en 10 commandements

1. Tes réseaux tu cloisonneras

Quel RSSI du secteur de la santé peut se targuer d’avoir optimisé au mieux le cloisonnement de ses réseaux. Faut-il déjà tous les connaître. Nos SIH ont souvent un lourd passé et des réseaux « fourre-tout » qu’il n’est pas toujours facile de segmenter. Alors cette année encore, il faudra reprendre son bâton de pèlerin pour consolider l’existant et bien penser les nouvelles architectures lors des lancements de nouveaux projets.

2. À jour, tes systèmes tu maintiendras

Revisiter sa politique de « patch management », ou la définir si ce n’est pas encore fait. Évincer les systèmes et logiciels obsolètes, essayer de ne pas prendre un train de retard, car l’année 2019 nous l’a encore démontré, les vulnérabilités corrigées, lorsqu’elles ne sont pas exploitées avant la publication d’un correctif, finissent toujours par l’être, et de plus en plus rapidement.

3. Dans ton Active Directory tu investigueras

L’annuaire Active Directory est le « colosse au pieds d’argile » de nos SIH. Il contient l’ensemble des secrets de nos utilisateurs, ainsi que leurs droits d’accès. Peu maîtrisé des administrateurs, mal configuré et rarement « entretenu », il est une proie vulnérable, de plus en plus attaquée. Sa compromission est une véritable catastrophe. En effet, comme le recommande l’ANSSI, sa reconstruction complète s’avère nécessaire si un tel drame se produit. Alors l’abus d’outils tels que l’excellent Ping Castle [1] de Vincent Le Toux, dont la version 2.7.1.1 a récemment été publiée ou encore Blood Hound [2] est fortement recommandé pour la santé de votre AD.  

4. La bonne parole tu diffuseras

La sensibilisation n’est pas une chose aisée. Elle doit être récurrente sans être lassante. Mooc, simulation de phising, ateliers, affiches, courriels, vidéos... tous les moyens sont bons pour faire passer vos messages. Vous pouvez également vous appuyer sur l’excellent serious game Sant’escape [3].

5. Des incidents tu simuleras

S’entraîner, se préparer aux incidents cyber qui arriveront tôt ou tard afin de bien roder l’organisation à mettre en place en cas de crise, en réalisant des exercices à l’image d’Écran Santé [4] ou ceux proposés par le GCS Sesan [5], s’avère être de plus en plus nécessaire.

6. Informé tu te tiendras

La sécurité des SI est perpétuellement en mouvement, alors se tenir informé est primordiale pour le RSSI. Pour ça, vous pouvez toujours compter sur DSIH magazine, adhérer à l’APSSIS [6] et vous inscrire sur le Forum SIH [7].

7. La collecte de données à caractère personnel tu limiteras

Dans la santé, nous avons toujours peur de manquer d’informations, alors nous avons tendance à adopter la politique « qui peut le plus, peut le moins » et collecter beaucoup plus de données que de besoins. Revoir ses traitements pour tenter d’être conforme au RGPD peut s’avérer être une bonne idée vu les amendes qui sont tombées l’année passée.

8. Dans les sauvegardes tu investiras

Lorsque l’on parle de sécurité, avec toutes les nouvelles solutions prêtes à résoudre l’ensemble de nos problèmes miraculeusement en se basant sur la block chain, l’IA, le machine learning et tout le toutim, on a parfois a tendance à oublier l’essentiel. Avoir des sauvegardes régulières, cloisonnées (disques) et déconnectées (bandes), mais aussi testées est fondamental.

9. Ton analyse de risques tu présenteras

Ce n’est pas forcément la partie la plus sexy du job, mais ça fait partie du travail du RSSI de présenter son analyse de risques au COMEX ou à la CME. Alors, au boulot !  

10. Ton budget SSI tu défendras

Avoir un budget dédié à la sécurité des SI fait partie des règles clés à respecter, c’est la Ministre qui l’a dit ! Alors, une fois encore, il va falloir se battre pour défendre son budget SSI, en comparant le coût de la sécurité VS le coût d’un incident, en rappelant que la sécurité n’est pas une option et que si l’on veut pouvoir obtenir les financements Hop’En, il va déjà falloir atteindre les prérequis SSI.

Bonne année à toutes et tous !

[1] https://www.pingcastle.com/

 [2] https://github.com/BloodHoundAD/BloodHound

 [3] https://www.esante-paysdelaloire.fr/fr/santescape/

[4] /article/3459/ecran-sante-2019-retour-d-experience.html

[5] https://youtu.be/7QNjfHTKtgc

[6] https://www.apssis.com/ 

[7] https://www.forum-sih.fr/