Publicité en cours de chargement...

Publicité en cours de chargement...

Démarche ISO 27001 : la lettre et l’esprit

15 déc. 2020 - 08:56,
Tribune - Cédric Cartau
Après les dernières attaques cyber touchant le monde de la santé, on ne peut manquer de s’interroger sur les dispositions prises dans les établissements publics ou privés pour sécuriser les accès distants des fournisseurs (celui des agents est un autre sujet). Comptes d’accès jamais clôturés, accès jamais audités, procédures internes aux fournisseurs plus que perfectibles (pour être poli), le moins que l’on puisse dire est qu’il s’agit d’un domaine pour lequel la sécurité des SI est… Comment dirais-je ? Sujette à amélioration (pour être très poli).

Pour ceux qui n’ont jamais mis les pieds dans les grands principes d’une certification ISO (ici, 27001), voici un exemple parfait qui démontre que l’on peut adopter les bonnes pratiques de l’ISO sans objectif de certification immédiat, et ce à moindre coût. Faisons l’exercice : si l’on devait mettre en place un système de prise en main à distance ex nihilo pour les fournisseurs, avec une optique de Security by Design, quelles en seraient les caractéristiques principales ?

Dans ce genre de problème, on découpe traditionnellement en Build et Run. Côté Build, on trouverait en vrac les mesures suivantes :

  • limitation des équipements de connexion périphériques (bastion, serveurs VPN, etc.). Mieux vaut éviter de multiplier les bastions de connexion ou les points d’accès VPN et chercher plutôt à les consolider pour les rendre plus faciles à contrôler ;
  • durée d’un compte fournisseur limité soit à la durée de l’opération, soit à un an, soit à la durée du marché ; il s’agit d’éviter le travers classique de trouver une bardée de comptes de connexion dont on ne sait jamais s’ils sont toujours utilisés, si le marché est toujours en cours, etc. ;
  • un compte de connexion par système cible (modalité biomed, progiciel SI, etc.). L’erreur classique consiste à attribuer un compte par fournisseur, qui pourra ensuite se connecter sur l’ensemble de ses systèmes cibles ; en cas de rachat, on risque de se retrouver avec des comptes utilisés par de multiples acteurs, ce qui est la pire des solutions ;
  • mot de passe imposé par l’établissement. Certains fournisseurs sont connus pour imposer le même mot de passe chez tous leurs clients pour se faciliter la vie (authentique !) ;
  • charte de connexion fournisseur annexée au contrat.

Côté Run, on trouve les mesures suivantes pour l’établissement :

  • revue annuelle des comptes. Il s’agit de pister les comptes inactifs, les comptes obsolètes, etc. ; s’ils sont trop nombreux, il est possible d’échantillonner en sélectionnant une trentaine de comptes ;
  • revue périodique des accès a minima par échantillonnage. Idem ;
  • audit des fournisseurs, soit en totalité soit par échantillonnage ;

Pour le Run côté fournisseur, on peut citer parmi les mesures :

  • existence d’une charte utilisateur interne juridiquement opposable (il s’agit de vérifier son existence, pas forcément de la consulter) ;
  • existence d’un plan de formation SSI interne ;
  • existence d’un journal des accès et des interventions consultable sur demande ;
  • existence d’une certification ISO, audits annuels consultables sur demande ;
  • obligation de signaler les incidents de SSI ;
  • obligation de désigner un correspondant SSI interne ;
  • certification ISO sur le périmètre des services de télémaintenance.

Sur ce dernier point, deux écoles sont en présence : la première consiste à établir un questionnaire plus ou moins précis dans le genre ci-dessus à envoyer chaque année à un ensemble ou sous-ensemble de fournisseurs afin de satisfaire à l’obligation d’audit de la sécurité du processus de télémaintenance. C’est la démarche la plus classique, mais il en existe une autre qui consiste justement à ne poser aucune question précise et à laisser chaque fournisseur se débrouiller avec une question ouverte du genre : « Quelles sont les mesures que vous prenez pour sécuriser les accès à nos systèmes ? » Le principe de la question ouverte est redoutable, je l’ai testé notamment dans des appels d’offres : efficacité garantie.

En procédant de la sorte (Build et Run en deux parties), on adresse les chapitres 12 (« Sécurité liée à l’exploitation ») et 15 (« Relations avec les fournisseurs ») de l’ISO 27002 (qui est l’annexe de l’ISO 27001) en suivant le principe selon lequel un dispositif doit être mis en place pour sécuriser les accès en télémaintenance (Plan et Do) et que ce dispositif doit être audité (Check) pour boucher les trous (Act). La différence entre une entreprise peu mature et très mature sur ce processus est l’étendue des mesures en Build et des audits en Run : plus on a de monde pour s’en occuper, plus les audits seront complets. Au demeurant, il s’agit d’un point qui se mutualise parfaitement au sein d’un GHT.

Une démarche ISO n’est pas forcément coûteuse : démarrer et « se faire la main » sur un processus organisationnellement simple tel que celui-ci est un bon début.

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

29 juil. 2025 - 11:09,

Actualité

-
Marguerite Brac de La Perrière

Le règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1er août 2024, vise à encadrer le développement et l’utilisation de l’intelligence artificielle dans l’Union européenne, en conciliant innovation technologique et protection des droits fondamentaux.

Illustration Dernier billet philosohico-cyber avant la plage

Dernier billet philosohico-cyber avant la plage

21 juil. 2025 - 10:00,

Tribune

-
Cédric Cartau

À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Illustration Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

07 juil. 2025 - 23:57,

Actualité

- DSIH

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.