Publicité en cours de chargement...
Reconstruction de l’Active Directory : le retour d’expérience du CH de Cannes après sa compromission
Du compte d’administration aux différents droits d’accès, en passant par les règles de protection, l’Active Directory est le coffre-fort du système d’information. Et à ce titre, « 95% des crises cyber entraînent sa compromission », a expliqué Marc Delecourt, Manager de la team CERT Secu-AD / Expert AD chez Orange Cyberdéfense. C’est d’autant plus vrai dans le secteur de la santé où « une multitude d’équipements sont connectés à l’infrastructure depuis des années, avec parfois des logiciels obsolètes ».
D’où l’importance des bonnes pratiques liées à l’AD, notamment avec un nettoyage régulier des comptes, des droits, des enregistrements DNS… « Nous avons découvert sur une AD un compte non-utilisé depuis 23 ans, c’est notre record », a lancé Marc Delecourt. Parmi les autres bonnes pratiques, il a cité l’importance de ne donner que les droits nécessaires et de les vérifier régulièrement, car des comptes peuvent avoir été admin à une époque. « Il faut savoir et avoir le niveau de droits adaptés », a-t-il résumé.
« L’AD est un vecteur d’attaque important, et c’est ce qui s’est passé au CH de Cannes » lors de l’attaque du 16 avril 2024, a confirmé Xavier Stoppini, RSSI du GHT 06. Il a expliqué que l’établissement avait « un bon niveau d’hygiène cyber » et que « ces actions de remédiation étaient en cours : des comptes qui avaient trop de privilèges avaient été baissés, etc. ». Néanmoins, « l’attaque a quand même eu lieu car les pirates sont forts. On fait tout pour esquiver l’attaque, mais si les cyberattaquants arrivent à entrer, ils cryptent un VMware en quelques secondes ».
Dès que l’attaque a été détectée, décision a été prise d’immédiatement couper le réseau et de déconnecter l’ensemble des équipements. « Il faut isoler son SI : couper d’abord, et ensuite faire le point. Car s’il y a fuite de données – et c’est très souvent le cas –, le fait de tout couper limite l’hémorragie. A Cannes, la décision immédiate de tout couper à fait gagner des mois de travail aux équipes », a assuré Xavier Stoppini. Dès le lendemain de l’attaque, 61 giga-octets de données sensibles avaient néanmoins été diffusés par le groupe russophone Lockbit sur internet, rappelle-t-on.
Un redémarrage possible en quelques heures
L’établissement a ensuite contacté Orange Cyberdéfense pour se préparer à un redémarrage. « Nous étions alors mardi et pensions que nous pourrions redémarrer le vendredi, mais Orange Cyberdéfense a pu remonter une AD en quelques heures. Dans la soirée, nous avions un embryon d’AD et aurions pu redémarrer si nous avions obtenu l’autorisation », a témoigné Xavier Stoppini.
Dans cette situation, « nos objectifs sont de rétablir le SI dans les meilleurs délais, de nous assurer de l’expulsion de l’attaquant et d’éviter son retour. Pour cela, nous créons un cœur de confiance pour éviter une nouvelle compromission du SI et recouvrer les fonctionnalités métiers critiques (NDLR : à Cannes, la stérilisation a été redémarrée en premier) », a expliqué Marc Delecourt.
La stratégie de reconstruction est souvent un compromis à trouver entre la sécurité et le temps d’indisponibilité du SI. Mais pour gagner du temps, il est important de définir en amont une stratégie de reconstruction. « Il faut être préparé sinon, quand l’attaque a lieu, vous êtes dans le noir et ne savez pas sur quel interrupteur appuyer », a noté Xavier Stoppini pour qui les exercices de crise sont un véritable atout. A Cannes, ils ont permis de gérer l’attaque plus sereinement, a-t-il dit.
Concrètement, les grandes étapes de la reconstruction sont la définition de la stratégie ; puis la reconstruction d’un serveur de sauvegarde et d’un réseau isolé ; la création d’une procédure de restauration et contrôle de l’état des postes et serveurs ; la restauration d’un cœur de confiance avec les serveurs d’infrastructures critiques ; la remise en service des postes de travail ; et enfin la restauration des serveurs applicatifs selon les priorités métier.
A Cannes, la reconstruction de l’AD a intégré un basculement vers une stratégie dite de « tier-model », après la suppression et le remplacement de tous les comptes à privilèges. Le déploiement du tier-model (et l’isolation du T0) a intégré une configuration en silo et une séparation des machines d’authentification (DC, ADConnect, PKI…) et des serveurs d’applications.
En mars, l’ANSSI avait d’ailleurs publié un ensemble de guides décrivant les principes du pilotage et de la mise en œuvre d’une remédiation du « Tier 0 Active Directory » au sein d’une organisation affectée par un incident de sécurité.
Avez-vous apprécié ce contenu ?
A lire également.

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée
24 avril 2025 - 15:14,
Actualité
- DSIHLa Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Le GHT Hôpitaux de Provence optimise ses flux patients avec la solution M-SESAME de Maincare
24 avril 2025 - 10:06,
Communiqué
- MaincareLe GHT Hôpitaux de Provence, un des groupements hospitaliers les plus importants de France avec 13 établissements et un bassin de 2 millions d’habitants, a choisi la solution M-SESAME, développée par Atout Majeur Concept, distribuée et intégrée par Maincare, pour répondre à ses besoins en matière de...
APinnov 2024 : l’AP-HP a organisé hier la 20ème édition de ses rencontres de transfert de technologies aux Salons Hoche
19 juin 2024 - 12:08,
Communiqué
- L’AP-HPChaque année, la journée APinnov rappelle l'importance du continuum entre la recherche, les soins et l’innovation et du maillage entre les acteurs académiques, institutionnels et industriels.
ESMS Numérique : les clés du succès
24 juin 2024 - 12:33,
Actualité
- DSIH, Delphine GuilgotDepuis 2021, les acteurs des secteurs social et médico-social se sont particulièrement mobilisés autour des enjeux du numérique en santé. Le Programme ESMS Numérique, complété aujourd’hui de SONS, leur ont permis d’amorcer leur virage numérique grâce à un accompagnement renforcé par les financements...