Vous êtes dans : Accueil > Tribunes libres >

50 nuances de RSSI : partageons pour avancer

Charles Blanc-Rolin, MARDI 14 JANVIER 2020

La fonction de RSSI peut être occupée par des personnes aux profils très différents, et c’est sûrement encore plus le cas dans le secteur de la santé, tout particulièrement pour les établissements publics. Entre l’ingénieur qualité de formation qui ne sait pas ce qu’est un annuaire Active Directory et l’administrateur système qui limite son appréciation des risques au périmètre de son infrastructure technique, il y existe un « Pantone » de RSSI. Nous pourrions débattre pendant des jours entiers des qualités nécessaires pour être un bon gestionnaire de risques, mais ce n’est pas le sujet de cet article.

Nous avons tous des choses à apprendre, tout le temps. Le domaine de la sécurité numérique impose une remise en question permanente, ce qui en fait tout son intérêt ! Celui qui pense déjà tout savoir, devrait, à mon sens, envisager une reconversion professionnelle au plus vite.
Si cette démarche est très personnelle, l’amélioration du niveau collectif ne peut se faire sans partage, alors profitons de cette diversité des connaissances pour, ensemble, monter en compétences. Nous avons tous à apprendre les uns des autres.
Cette démarche est l’essence même de l’APSSIS [1].

L’agence nationale de la sécurité des systèmes d’information (ANSSI), partage elle aussi de plus en plus d’informations et d’outils. Dans son discours lors des dernières Assises de la sécurité des systèmes d’information à Monaco, Guillaume Poupard a d’ailleurs insisté sur cette démarche initiée par l’agence, en déclarant que tout ce qui n’avait pas une bonne raison de ne pas être partagé, devait absolument l’être.
Malgré mon admiration sincère et mon profond respect pour Guillaume Poupard, Directeur Général de l’ANSSI, j’avoue ne pas bien comprendre les messages qu’il a voulu faire passer dans l’interview qu’il a accordée au journal Libération [2], lorsqu’il est revenu sur la communication faite par l’agence suite à l’incident subit par le CHU de Rouen.

« Il y a à peu près 3 000 établissements de santé en France. Tous ne sont pas en capacité d’utiliser efficacement l’information technique que nous pouvons fournir… Les CHU... soit une quarantaine d’établissements, ont reçu l’information très vite. Je ne suis pas certain que tous étaient capables de l’absorber... »

Puisque chaque GHT dispose aujourd’hui d’un RSSI (tout du moins sur le papier), pourquoi se limiter à 40 établissements et ne pas diffuser aux RSSI des 136 GHT qui en regroupent près de 900 ? Chaque GHT n’a pas forcément un CHU comme établissement support, alors pour eux l’information a du mal à redescendre et c’est bien dommage, car ils partent une fois de plus désavantagés. Et si certains CHU n’étaient peut être pas capables d’absorber l’information, peut être aussi que des établissements plus petits l’auraient été.

Je suis tout à fait d’accord sur le fait que chaque établissement n’a pas forcément les outils et les personnes compétentes pour pouvoir traiter toutes les informations techniques délivrées par l’ANSSI. Mais aujourd’hui qui dispose d’un registre exhaustif des outils et compétences SSI que les établissements possèdent ? À ma connaissance, personne. En revanche un registre des adresses de courriels fonctionnelles SSI de chaque établissement, avec oSIS, ça existe, malheureusement personne ne l’utilise, et là encore, c’est bien dommage.
À ce jour, malgré une adresse fonctionnelle SSI créée depuis plusieurs années et renseignée dans oSIS, je reçois toujours les alertes émises par le service du HFDS et relayées par l’ARS après transfert de la DG, mais jamais directement.

osis

Pour revenir sur les informations techniques qui peuvent être délivrées par l’ANSSI, je pense que le type de logiciel malveillant, son nom, ainsi qu’une plage d’adresses IP de serveurs C2 à bloquer reste à la portée de tout administrateur systèmes et réseaux.

Je pense qu’il est primordial de partager l’information et d’autant plus aux établissements que l’on pense les moins aguerris. Ils sont des victimes à gros potentiel, et à eux aussi, les patients confient leur vie, même s’ils ne sont ni OIV, ni OSE.
Ça ne coûte absolument rien, s’ils ont les compétences, ils vont pouvoir agir et avoir une chance de se défendre, et indirectement, protéger leurs patients. Si tout le monde ne peut pas s’appuyer sur un SOC, bloquer une plage d’adresses IP sur un pare-feu, ce n’est pas compliqué et c’est déjà très bien. S’ils n’ont pas les compétences, c’est l’occasion pour eux d’apprendre et d’être plus réactifs lors de la prochaine alerte.

 

Je peux comprendre que certaines informations soient confidentielles, mais quand les collègues de CHU me parlent d’informations classées TLP-AMBER ou TLP-GREEN, alors que certaines d’entre elles sont disponibles sur Twitter depuis plusieurs semaines, je trouve ça vraiment dommage de ne pas les partager à minima avec les RSSI de GHT.
On ne pourra pas faire monter le niveau de maturité SSI des établissements en les laissant dans l’ignorance.

Alors si tout le monde s’accorde à dire qu’il ne faut plus se demander si nous allons devenir une cyber-victime, mais plutôt quand nous allons l’être, nous devrions également nous dire, quelles informations devons-nous partager et comment leur faire comprendre, plutôt que seront-ils prêts à les entendre.

#TOUSCYBERVIGILANTS


[1] https://www.apssis.com/actualite-ssi/378/en-rejoignant-l-apssis-devenez-un-e-professionnel-le-entoure-e-et-engage-e.htm

[2] https://www.liberation.fr/france/2020/01/02/cybersecurite-la-criminalite-de-masse-se-developpe_1771540

#rssi#annuaire#formation#périmètre#chu#apssis#ssi#dsih#sécurité