Publicité en cours de chargement...
Les systèmes Scada, cauchemar du RSSI hospitalier – Volet 2
Après s’être totalement ignorés pendant des décennies, les experts Scada et IT se sont ensuite copieusement invectivés, chacun accusant l’autre de ne pas comprendre « la vraie vie » (ce qui semble d’ailleurs être une tradition au pays du fromage). À ce sujet, écouter l’excellent numéro du Comptoir Sécu[1] sur la SSI dans le domaine industriel.
On observe, très clairement, une grosse mutation sur la question. À titre personnel, j’ai participé à une réunion de travail très technique sur le dossier du monitoring patient avec les équipes de Philips, et l’on pourra toujours critiquer certains choix techniques, mais il faudrait être d’une sacrée mauvaise foi pour affirmer que, concernant le système que j’ai vu, la SSI n’avait pas été prise en compte : elle est clairement by design dans l’architecture du produit.
Cela étant, il subsiste toujours des fournisseurs en retard (pour quelques années encore), et des vulnérabilités inhérentes à ce type de produits (par exemple, aucune souplesse sur les mises à jour de patchs OS). Les équipes IT ne sont pas pour autant démunies face aux enjeux de sécurisation des systèmes Scada ; il existe des dispositions pas toujours coûteuses ni complexes à déployer pour les sécuriser. Liste non exhaustive.
a) Segmenter les sous-réseaux
C’est une bonne pratique de base : chaque système Scada doit être déployé sur un VLAN dédié. Attention quand le VLAN doit être propagé sur plusieurs sites, le travail des ingénieurs réseau devient un peu plus complexe.
b) Filtrer les VLAN Scada
Un VLAN Scada ne doit être relié au reste du LAN qu’au travers d’un pare-feu dédié, avec donc une cartographie des flux et des ports IP.
c) Déployer des dispositifs d’analyse AV à la volée en mode non bloquant
Trend a été le premier fournisseur AV à en proposer dans son catalogue : il s’agit de boîtiers qui se branchent en mode écoute/réplication de port sur un switch ou un routeur et qui analysent les trames du VLAN Scada.
d) Disposer d’un plan de mise à jour des équipements de chaque VLAN
On peut admettre que les patchs OS ne soient pas déployés tous les mois, pas qu’ils ne le soient jamais.
e) Déployer des bastions de prise de main à distance pour les fournisseurs dans le cadre de la maintenance
Les « gros » fournisseurs biomédicaux sont les spécialistes des demandes d’accès LAN to LAN : s’il est impossible de l’éviter (dans certains cas les contraintes de GTI/GTR ne le permettent pas), a minima déployer une authentification login/password et exiger un planning de déploiement de MFA sur ces typologies d’accès.
f) Passer régulièrement un outil de type Shodan
C’est la seule façon de vérifier qu’aucun équipement de votre LAN n’est en accès libre sur Internet.
g) Intégrer des dispositions standard de sécurité dans vos CCTP
Nulle explication nécessaire.
h) Appeler un ami
À une époque pas si lointaine, c’était le truc préféré des fournisseurs peu scrupuleux : tenter de m’expliquer que ce que je refusais, tous les hôpitaux du reste de la France l’avaient accepté sans problème, mais bon alors, M. Cartau, on ne comprend vraiment pas pourquoi vous ne voulez pas. Dans les faits, après quelques coups de fil, il s’avérait que c’était la plupart du temps entièrement faux. Après le jugement dernier, j’espère que ces gugusses se feront rôtir juste après les arracheurs de dents.
i) Être en amont des projets
Un bon RSSI va voir les ingénieurs biomed, les experts sécurité, les services techniques avant que les ennuis n’arrivent… pour mieux les anticiper.
j) Former les services
Un ingénieur biomed averti en vaut deux. Et, d’expérience, ils prétendent rarement en connaître plus que le RSSI sur les questions de sécurité et sont souvent demandeurs de connaissances.
k) Cultiver son espièglerie
Le prochain fournisseur qui me demande d’ouvrir un flux patient en HTTP (authentique), de mettre le même mot de passe d’accès VPN que tous ses autres clients (encore authentique), voire de poser une appliance sur mon LAN pour exfiltrer des données patient sans me fournir aucune doc technique à part un gribouillis sur une feuille de Sopalin (toujours authentique), juré, je déclare un incident à l’Anssi.
[1] https://www.comptoirsecu.fr/podcast/%C3%A9pisode-48-la-ssi-dans-le-monde-industriel/
Avez-vous apprécié ce contenu ?
A lire également.

Le Health Data Hub sélectionne huit nouveaux projets pour enrichir sa bibliothèque open source d’algorithmes en santé
04 juin 2025 - 13:10,
Communiqué
- Le Health Data HubÀ l’occasion de la Journée de l’open science en santé, organisée ce 4 juin 2025 à PariSanté Campus, le Health Data Hub (HDH) annonce les huit lauréats de la 8e vague de son appel à manifestation d’intérêt (AMI) dédié à la Bibliothèque Ouverte d’Algorithmes en Santé (BOAS). Cet appel à projets, lancé...

MentalTech, vers un Observatoire français de la e-santé mentale
02 juin 2025 - 22:20,
Actualité
- Damien Dubois, DSIHLe 21 mai, le collectif MentalTech a annoncé l’arrivée de dix nouveaux membres et dévoilé sa feuille de route 2025 avec pour ambition de s’affirmer comme l’Observatoire de la e-santé mentale.

ViaTrajectoire : une plateforme socle modernisée au service des parcours médico-sociaux
02 juin 2025 - 18:46,
Actualité
- DSIHViaTrajectoire poursuit en 2025 sa transformation numérique au service de l’autonomie, avec une série d’évolutions majeures visant à fluidifier les parcours des personnes âgées et en situation de handicap. Ce service national traite désormais plus de 110 000 orientations par mois, et s’impose comme ...

Connect Santé 2025 : relevez les défis de l’hôpital connecté
02 juin 2025 - 16:26,
Communiqué
- PhilipsDans un environnement hospitalier toujours plus digitalisé, la connectivité biomédicale s’impose comme un levier essentiel de performance, de sécurité et de valorisation des données cliniques.