Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Stratégie de réponse aux ransomwares : élever un peu le débat

30 mars 2021 - 11:41,
Tribune - Cédric Cartau
Dans un billet récent, un point intéressant a été soulevé et consisterait à considérer la sécurité cyber comme relevant de la mission régalienne, au même titre que la sécurité de l’espace aérien, des routes, etc. Poursuivons un peu dans la même veine.

La stratégie de protection des entreprises privées ou publiques face à ce nouveau risque – létal dans certains cas – que constituent les ransomwares pourrait s’articuler autour des axes ou chantiers suivants :

Chantier 0 : indicateurs et guides

S’il est une chose dont on ne manque pas ici, ce sont bien les guides et les indicateurs en tout genre, rien d’autre à dire sur ce point.

Chantier 1 : créer des formations SSI dédiées

On manque de masters 2, mais aussi de licences 3. Ça fait juste dix ans qu’on le dit.

Chantier 2 : intégrer un cours de SSI dans toutes les formations de haut niveau

Facultés de médecine, écoles d’ingénieur, formations de management, formations de cadres de l’administration, d’avocats, etc. : aucun diplômé ne doit sortir du système éducatif sans avoir reçu un bagage minimal concernant la sécurité SI.

Chantier 3 : recruter des bras

Des gens qui expliquent aux entreprises quoi faire, on en trouve des palanquées. Des gens pour le faire, un peu moins. À un moment donné, il va bien falloir arrêter de tourner autour du pot et recruter. D’où l’importance du chantier 2. Et d’où l’importance de disposer de budgets adéquats, et pas simplement de crédits d’investissement.

Globalement, les débats publics faisant suite aux dernières attaques médiatisées ne vont pas plus loin que ces quatre chantiers. Ce ne sont pourtant pas les seuls.

Chantier 4 : légiférer sur les fondamentaux vis-à-vis des fournisseurs

C’est bien joli – et souvent justifié – de fustiger les hôpitaux qui ne mettent pas à jour leurs systèmes, mais quand cela est dû à une contrainte imposée par un fournisseur « à la ramasse », le poids du pauvre DSI hospitalier est bien faible. OS obsolètes, accès distants LAN to LAN sans aucun contrôle de sécurité, quand c’est une multinationale américaine qui l’établit dans ses conditions générales, seule la réglementation peut nous aider. Ce point est réclamé depuis des années par toute la profession. Rien que sur ce sujet il faut un groupe de travail.

Chantier 5 : contingenter les évolutions réglementaires ayant un impact SI

Quand une DSI consomme le tiers ou la moitié du temps de son Amoa à suivre (ou à tenter de suivre) la réglementation dans des domaines tels que la T2A ou les RH (on a les bulletins de salaire les plus illisibles du monde), difficile d’expliquer au DSI qu’il faut réduire la voilure du SI pour réaffecter des agents à la cyber.

Chantier 6 : suite du chantier précédent, réduire la voilure du SI

Les DSI n’ont pas tant un problème de moyens, n’en déplaise à certains, qu’un problème d’adéquation entre les moyens dont ils disposent et les projets fonctionnels qui leur tombent dessus à longueur de temps. 1,5 %, 2 %, qu’importe : c’est juste le fait de prétendre vouloir faire du Himss Level 6 avec même pas la moitié du budget nécessaire qui est choquant.

Chantier 7 : centraliser les DMZ

Pièces jointes infectées, sites Web rogues : la plupart des infections proviennent d’une interaction avec l’Internet. Aucun établissement – même un CHU – n’a les moyens d’avoir une DMZ correctement calibrée, avec des composants à jour. Il faut réorienter les architectures des DMZ, en les regroupant par région – a minima par GHT – et confier leur exploitation à des équipes dédiées 24/365. L’échelon idéal est régional, le national est trop gros et trop lourd. Cet aspect est fortement lié au chantier 4, car il va falloir imposer aux fournisseurs de passer par des bastions de prise de main : ça va faire drôle à certains fournisseurs quand on va leur expliquer que les accès LAN to LAN, c’est fini.

Chantier 8 : construire un Internet dédié santé avec des points d’entrée/sortie supervisés et maîtrisés

Suite logique du chantier précédent ou en combinaison avec ce dernier : l’armée le fait, et c’est désormais une nécessité pour les secteurs critiques. Une intervention de niveau opérateur national est indispensable, avec les appels d’offres de concession ad hoc. Le filtrage des IP « étrangères bizarres » relève justement d’une mission régalienne.

Chantier 9 : mettre en place une supervision centralisée

À l’échelon régional ou des GHT (encore une fois, le national est trop gros) avec SOC et Siem, le tout avec des opérateurs français, des infrastructures françaises et des logiciels nationaux.

Chantier 10 : mettre en place une task force sectorielle en santé

Avec 400 ou 500 agents, on voit mal comment l’Anssi pourra se déplacer sur plusieurs théâtres d’opération simultanés.

Tous ces chantiers ne sont évidemment pas exclusifs de ce que chaque établissement doit faire en interne : sécuriser son AD, segmenter son LAN, déployer un réseau d’admin, etc. Voir à ce sujet le Guide Cyber T3[1].
Et j’en ai forcément oublié.


[1]   https://www.apssis.com/nos-actions/publication.html 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Approche hétérodoxe du concept de risque résiduel

Approche hétérodoxe du concept de risque résiduel

02 juin 2025 - 22:42,

Tribune

-
Cédric Cartau

Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.

Illustration Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE

Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE

02 juin 2025 - 15:00,

Communiqué

- GPLExpert

GPLExpert rejoint le groupe itp tout en conservant vos interlocuteurs. Fort de 30 ans d’histoire, 160 collaborateurs, 11 agences et 6 domaines d’expertise, qui sont désormais à votre service :

Illustration La cyber et les probabilités paresseuses

La cyber et les probabilités paresseuses

26 mai 2025 - 21:29,

Tribune

-
Cédric Cartau

Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Illustration Cybersécurité, simuler pour protéger : la force des formations immersives

Cybersécurité, simuler pour protéger : la force des formations immersives

19 mai 2025 - 23:41,

Tribune

-
Christine HEULIN

Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.