La cyber confrontée à la question des accès fournisseurs
À ce stade des investigations, je ne ferai aucun commentaire sur qui, quoi, quand, comment, où, pourquoi, mais parmi les sujets qui sont impactés par cette attaque il y a celui des accès des fournisseurs à nos SI. On a vu en effet au même moment une communication d’un éditeur (EDL en l’occurrence) affirmant qu’un compte obsolète (d’accès en télémaintenance s’entend) était toujours présent chez certains de ses clients et qu’il convenait de changer dare-dare le mot de passe.
Article connexe → 2023 : Une nouvelle année sans incidents cyber
Dans des articles précédents, j’avais déjà soulevé la question des accès fournisseurs aux SI, qui finissent par avoir davantage de privilèges que nos propres agents à qui on impose du MFA à tour de bras, non seulement pour les accès externes (télétravail), mais aussi en interne (déploiement de cartes à puce pour les connexions de session avec une authentification SSO pour le volet applicatif, l’état de l’art en somme). On enquiquine plus le médecin en lui demandant des comptes pour savoir pourquoi il a accédé à telle donnée de tel patient à telle heure que le technicien de Bangalore qui peut à 8 000 bornes de distance consulter la totalité des données médicales de tous les patients d’un GHT sans aucun contrôle.
Pour ce qui concerne les accès fournisseurs, la plupart du temps, c’est la fête au village : accès en simple login/password, canal d’accès ouvert 24/365, rebond direct de la passerelle VPN sur le système interne (un serveur, un système Scada, etc.), le tout sans prévenir, sans rapport d’intervention (ben oui quoi, c’est du temps perdu une fiche de traçabilité, hein ?), et encore quand on n’a pas affaire à des accès LAN to LAN depuis des plateformes internationales centralisées en Inde (c’est du vécu).
Dans ces conditions, vous avez deux versions du futur proche : soit nous anticipons, soit nous attendons comme des crétins qu’un gros incident se produise dans un grand CHU et qu’une injonction nous arrive dans les 48 heures de l’Anssi, du ministère, de la DGSE ou autre, nous intimant de verrouiller tout ce foutoir – et ce pour avant-avant-hier (et, entre nous, ils n’auront pas tout à fait tort).
Que vous le vouliez ou non, voilà ce qui nous attend (et ce n’est jamais que l’application du Zero Trust, même pas extrémiste) :
– Fermeture des accès par défaut (le compte fournisseur existe, mais reste bloqué par défaut en attendant un déblocage manuel nécessitant une intervention humaine d’un agent de la DSI) ;
– Déblocage d’un accès uniquement sur demande écrite et motivée, provenant d’une adresse mail référencée sur la fiche fournisseur ;
– Rappel par les équipes d’exploitation d’un numéro (également référencé) demandant un élément de confirmation (par exemple un code ou un numéro dédié à chaque client, déterminé à la mise en place du canal de télémaintenance), avec connexion possible seulement après activation du compte ;
– Reverrouillage du compte après l’intervention, soit manuellement soit par script automatisé ;
– Rupture de flux, seule la prise de main à distance sur un terminal est autorisée, aucun accès VPN direct ;
– Filtrage sur une adresse IP fixe, fournie par le prestataire au moment de la mise en place du contrat, ce qui signifie, entre autres, que les agents du fournisseur devront repasser par l’IP de sortie de leur employeur pour les accès distants en télémaintenance, y compris lorsqu’ils sont en télétravail ;
– Géoblocking généralisé aux IP européennes ; il appartiendra au client de mettre en place, dans son infrastructure et à ses frais, des IP européennes de sortie avec des back-up (le géoblocking produit de faux positifs) ;
– Durée d’un compte fournisseur strictement limité à la durée du marché ;
– Obligation contractuelle du fournisseur de signaler tout changement et tout incident ;
– MFA à mettre en place, par le fournisseur sur son propre SI, avec obligation contractuelle, pour sécuriser les accès télémaintenance sortants (imposer le MFA en entrée de votre VPN/bastion relève de la gageure) ;
– Fin des accès LAN to LAN (avec l’impact que vous pouvez imaginer sur la continuité de service) ;
– Séparation entre les accès sortants (pour la télésupervision d’équipements) et les accès entrants ; attention, ce point est très complexe, et pas mal de fournisseurs, surtout côté biomédical, cherchent actuellement à le contourner ;
– Obligation réglementaire du fournisseur de former ses agents, y compris ses prestataires en sous-traitance, avec preuve de formation, à renouveler a minima tous les trois ans ;
– Modification des contrats pour engager, civilement et pénalement, le fournisseur en cas de manquement à ses obligations réglementaires (identifiants dans la nature, MFA non implémentée, formations non suivies, etc.).
Il ne faut pas croire que les fournisseurs sont les seuls concernés : ces changements ont également de lourdes conséquences sur les équipes internes, auxquelles les obligations de formation s’appliquent aussi, avec un impact sur la charge et la couverture horaire d’une DSI pour être en mesure de procéder à des ouvertures d’accès 24/365, etc.
Dit autrement et pour être plus clair : on est juste au début des ennuis…
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.
Avez-vous apprécié ce contenu ?
A lire également.

L’Institut Curie et le groupe hospitalier Diaconesses Croix Saint-Simon unissent leurs expertises pour un parcours de soins d’excellence en cancérologie
27 juin 2025 - 14:47,
Actualité
- DSIHL’Institut Curie, premier centre français de lutte contre le cancer, et le groupe hospitalier Diaconesses Croix Saint-Simon, créateur du Centre de Cancérologie de l’Est Parisien, annoncent un partenariat stratégique inédit. Ce partenariat, baptisé « Parcours Expert Institut Curie – Diaconesses Croix...

Dedalus France : une nouvelle étape dans la trajectoire de transformation
24 juin 2025 - 07:50,
Actualité
- DSIHDedalus France annonce le départ de Frédéric Vaillant, Directeur Général Délégué, au 30 juin 2025, après plus de 25 ans d’engagement. Fondateur de Medasys, acteur central des grandes étapes de structuration de l’entreprise, il a contribué à façonner Dedalus France comme acteur majeur du numérique en...

Interopérabilité en santé : FHIR on fire
23 juin 2025 - 21:47,
Actualité
- DSIH, Guilhem De ClerckHLTH 2025 – Amsterdam, 17 juin 2025 – Sur la scène du congrès HLTH, l’interopérabilité des données de santé s’est imposée comme un enjeu central, illustrant les limites persistantes des systèmes actuels et les espoirs placés dans la norme FHIR (Fast Healthcare Interoperability Resources). Au cœur de...

« Data Opt-in-imism : pourquoi la confiance est-elle la clé du succès de l’EHDS », une question débattue au HLTH 2025
23 juin 2025 - 21:23,
Actualité
- DSIH, Mehdi LebranchuLe 18 juin dernier, au Salon HLTH Europe d’Amsterdam, la conférence « Data Opt-in-imism: Why trust is key to the success of EHDS » a réuni des voix institutionnelles du nord de l’Europe autour d’une question déterminante pour l’avenir du partage de données de santé : la confiance. Prévu pour 2029, l...