Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Stratégie de réponse aux ransomwares : élever un peu le débat

30 mars 2021 - 11:41,
Tribune - Cédric Cartau
Dans un billet récent, un point intéressant a été soulevé et consisterait à considérer la sécurité cyber comme relevant de la mission régalienne, au même titre que la sécurité de l’espace aérien, des routes, etc. Poursuivons un peu dans la même veine.

La stratégie de protection des entreprises privées ou publiques face à ce nouveau risque – létal dans certains cas – que constituent les ransomwares pourrait s’articuler autour des axes ou chantiers suivants :

Chantier 0 : indicateurs et guides

S’il est une chose dont on ne manque pas ici, ce sont bien les guides et les indicateurs en tout genre, rien d’autre à dire sur ce point.

Chantier 1 : créer des formations SSI dédiées

On manque de masters 2, mais aussi de licences 3. Ça fait juste dix ans qu’on le dit.

Chantier 2 : intégrer un cours de SSI dans toutes les formations de haut niveau

Facultés de médecine, écoles d’ingénieur, formations de management, formations de cadres de l’administration, d’avocats, etc. : aucun diplômé ne doit sortir du système éducatif sans avoir reçu un bagage minimal concernant la sécurité SI.

Chantier 3 : recruter des bras

Des gens qui expliquent aux entreprises quoi faire, on en trouve des palanquées. Des gens pour le faire, un peu moins. À un moment donné, il va bien falloir arrêter de tourner autour du pot et recruter. D’où l’importance du chantier 2. Et d’où l’importance de disposer de budgets adéquats, et pas simplement de crédits d’investissement.

Globalement, les débats publics faisant suite aux dernières attaques médiatisées ne vont pas plus loin que ces quatre chantiers. Ce ne sont pourtant pas les seuls.

Chantier 4 : légiférer sur les fondamentaux vis-à-vis des fournisseurs

C’est bien joli – et souvent justifié – de fustiger les hôpitaux qui ne mettent pas à jour leurs systèmes, mais quand cela est dû à une contrainte imposée par un fournisseur « à la ramasse », le poids du pauvre DSI hospitalier est bien faible. OS obsolètes, accès distants LAN to LAN sans aucun contrôle de sécurité, quand c’est une multinationale américaine qui l’établit dans ses conditions générales, seule la réglementation peut nous aider. Ce point est réclamé depuis des années par toute la profession. Rien que sur ce sujet il faut un groupe de travail.

Chantier 5 : contingenter les évolutions réglementaires ayant un impact SI

Quand une DSI consomme le tiers ou la moitié du temps de son Amoa à suivre (ou à tenter de suivre) la réglementation dans des domaines tels que la T2A ou les RH (on a les bulletins de salaire les plus illisibles du monde), difficile d’expliquer au DSI qu’il faut réduire la voilure du SI pour réaffecter des agents à la cyber.

Chantier 6 : suite du chantier précédent, réduire la voilure du SI

Les DSI n’ont pas tant un problème de moyens, n’en déplaise à certains, qu’un problème d’adéquation entre les moyens dont ils disposent et les projets fonctionnels qui leur tombent dessus à longueur de temps. 1,5 %, 2 %, qu’importe : c’est juste le fait de prétendre vouloir faire du Himss Level 6 avec même pas la moitié du budget nécessaire qui est choquant.

Chantier 7 : centraliser les DMZ

Pièces jointes infectées, sites Web rogues : la plupart des infections proviennent d’une interaction avec l’Internet. Aucun établissement – même un CHU – n’a les moyens d’avoir une DMZ correctement calibrée, avec des composants à jour. Il faut réorienter les architectures des DMZ, en les regroupant par région – a minima par GHT – et confier leur exploitation à des équipes dédiées 24/365. L’échelon idéal est régional, le national est trop gros et trop lourd. Cet aspect est fortement lié au chantier 4, car il va falloir imposer aux fournisseurs de passer par des bastions de prise de main : ça va faire drôle à certains fournisseurs quand on va leur expliquer que les accès LAN to LAN, c’est fini.

Chantier 8 : construire un Internet dédié santé avec des points d’entrée/sortie supervisés et maîtrisés

Suite logique du chantier précédent ou en combinaison avec ce dernier : l’armée le fait, et c’est désormais une nécessité pour les secteurs critiques. Une intervention de niveau opérateur national est indispensable, avec les appels d’offres de concession ad hoc. Le filtrage des IP « étrangères bizarres » relève justement d’une mission régalienne.

Chantier 9 : mettre en place une supervision centralisée

À l’échelon régional ou des GHT (encore une fois, le national est trop gros) avec SOC et Siem, le tout avec des opérateurs français, des infrastructures françaises et des logiciels nationaux.

Chantier 10 : mettre en place une task force sectorielle en santé

Avec 400 ou 500 agents, on voit mal comment l’Anssi pourra se déplacer sur plusieurs théâtres d’opération simultanés.

Tous ces chantiers ne sont évidemment pas exclusifs de ce que chaque établissement doit faire en interne : sécuriser son AD, segmenter son LAN, déployer un réseau d’admin, etc. Voir à ce sujet le Guide Cyber T3[1].
Et j’en ai forcément oublié.


[1]   https://www.apssis.com/nos-actions/publication.html 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

09 mai 2025 - 16:39,

Actualité

- DSIH

Le programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Illustration Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

05 mai 2025 - 23:11,

Tribune

-
Cédric Cartau

Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Illustration Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

02 mai 2025 - 16:13,

Tribune

- Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic Associés

Par décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Illustration Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.