Création et développement du CERT GPLExpert

Du contrat classique de maintenance informatique jusqu’à la conception d’infrastructure, GPLExpert nourrit depuis quinze ans chacune de ses prestations d’une vision transversale incluant à chaque instant la notion de sécurité. Dans le cadre de son activité de support et d’infogérance clients, GPLExpert est amenée à gérer des incidents de sécurité parfois complexes et particulièrement critiques. Face à cette problématique, la société décide de mobiliser une équipe dédiée spécifiquement à la gestion des incidents informatiques (le CERT*).

La procédure de déclenchement du CERT s’intègre naturellement dans les processus du support GPLExpert. Les équipes techniques qui réceptionnent les demandes clients sont formées pour identifier le niveau de criticité des incidents, intervenir de manière sécurisée pour contenir les risques de propagation, transmettre les premières recommandations et alerter la cellule du CERT 24h/24h – 7j/7j.

La prise en charge par le CERT GPLExpert permet d’identifier la source de l’attaque, d’assurer la conservation des preuves numériques, d’isoler l’infrastructure attaquée du reste du système d’information, de faire le lien avec les autorités compétentes (police, CERT Santé, ARS…) et de coordonner la cellule de crise liée à l’incident en cours.

La gestion d'un incident de sécurité dans un établissement de santé est une procédure critique. Elle garantit la confidentialité, l'intégrité et la disponibilité des données médicales sensibles des patients, ainsi que la continuité des soins. L’avènement d’une crise engendre bien souvent un phénomène de panique. C’est notamment dans ces conditions que le CERT prend toute sa dimension. Son objectif est de coordonner avec justesse et calme les activités tout en étant le référent principal de tous les acteurs de la crise. En communication constante avec son client, le CERT de GPLExpert oriente les rôles de chacun durant le traitement de l’incident de sécurité permettant ainsi de faciliter la remédiation et la reconstruction post-crise.

Une fois l’incident maîtrisé, toujours avec le soutien du CERT GPLExpert, l’établissement entre dans une phase de rétablissement. Cela comprend la restauration des systèmes, la réparation des failles de sécurité et l'analyse post-mortem pour comprendre les failles du dispositif de sécurité initial. À l’aide de processus sécurisés, le but de chaque action du CERT est de revenir le plus rapidement possible à une situation de normalité opérationnelle.

« Chaque incident est l’occasion pour une structure d’acculturer en son sein une forme de résilience face aux attaques informatiques. Nous apportons principalement une expertise technique dans un moment clef où le moindre faux pas peut déclencher des conséquences parfois critiques pour l’entreprise lorsqu’elle est ciblée par un groupe de cybercriminels ». Damien RIBEIRO, responsable du CERT GPLExpert

Dans ce contexte d’exposition importante au risque, la gestion de crise représente donc un élément majeur dans la réputation d’un établissement.
En ce sens, conformément aux prérogatives gouvernementales en matière d’éveil aux bonnes pratiques de sécurité informatique à transmettre aux acteurs Santé, le pôle GCSSI (Gouvernance, Conformité & Sécurité du SI) de GPLExpert a développé une prestation « Exercice crise cyber ».

Grâce à un audit de maturité élaboré en amont, les consultants établissent un scénario simulant un incident de sécurité au plus proche de la réalité au sein de l’établissement. La restitution de l’exercice réalisée par la suite laisse place à des solutions d’optimisation en termes de sécurité de son système d’information.

Cette prestation permet aux structures de comprendre les enjeux et les spécificités d’une cybercrise, faisant émerger les bonnes pratiques à adopter, de l’élaboration d’une politique de sécurité du système d’infor- mation jusqu’à l’installation d’un EDR (Endpoint Detection and Response) au sein de la structure.

Il est plus que jamais nécessaire de conjuguer sécurité du système d’information avec sécurité des soins médicaux. La gestion de crise est un élément vital de la sécurité informatique. Le CERT peut se révéler un allié précieux dans la lutte contre les menaces informatiques, l’expertise GPLExpert peut faire la différence entre une attaque destructrice et une défense efficace.

 *Computer Emergency Response Team