Vous êtes dans : Accueil > Tribunes libres >
Après les dernières attaques cyber touchant le monde de la santé, on ne peut manquer de s’interroger sur les dispositions prises dans les établissements publics ou privés pour sécuriser les accès distants des fournisseurs (celui des agents est un autre sujet). Comptes d’accès jamais clôturés, accès jamais audités, procédures internes aux fournisseurs plus que perfectibles (pour être poli), le moins que l’on puisse dire est qu’il s’agit d’un domaine pour lequel la sécurité des SI est… Comment dirais-je ? Sujette à amélioration (pour être très poli).
Pour ceux qui n’ont jamais mis les pieds dans les grands principes d’une certification ISO (ici, 27001), voici un exemple parfait qui démontre que l’on peut adopter les bonnes pratiques de l’ISO sans objectif de certification immédiat, et ce à moindre coût. Faisons l’exercice : si l’on devait mettre en place un système de prise en main à distance ex nihilo pour les fournisseurs, avec une optique de Security by Design, quelles en seraient les caractéristiques principales ?
Dans ce genre de problème, on découpe traditionnellement en Build et Run. Côté Build, on trouverait en vrac les mesures suivantes :
Côté Run, on trouve les mesures suivantes pour l’établissement :
Pour le Run côté fournisseur, on peut citer parmi les mesures :
Sur ce dernier point, deux écoles sont en présence : la première consiste à établir un questionnaire plus ou moins précis dans le genre ci-dessus à envoyer chaque année à un ensemble ou sous-ensemble de fournisseurs afin de satisfaire à l’obligation d’audit de la sécurité du processus de télémaintenance. C’est la démarche la plus classique, mais il en existe une autre qui consiste justement à ne poser aucune question précise et à laisser chaque fournisseur se débrouiller avec une question ouverte du genre : « Quelles sont les mesures que vous prenez pour sécuriser les accès à nos systèmes ? » Le principe de la question ouverte est redoutable, je l’ai testé notamment dans des appels d’offres : efficacité garantie.
En procédant de la sorte (Build et Run en deux parties), on adresse les chapitres 12 (« Sécurité liée à l’exploitation ») et 15 (« Relations avec les fournisseurs ») de l’ISO 27002 (qui est l’annexe de l’ISO 27001) en suivant le principe selon lequel un dispositif doit être mis en place pour sécuriser les accès en télémaintenance (Plan et Do) et que ce dispositif doit être audité (Check) pour boucher les trous (Act). La différence entre une entreprise peu mature et très mature sur ce processus est l’étendue des mesures en Build et des audits en Run : plus on a de monde pour s’en occuper, plus les audits seront complets. Au demeurant, il s’agit d’un point qui se mutualise parfaitement au sein d’un GHT.
Une démarche ISO n’est pas forcément coûteuse : démarrer et « se faire la main » sur un processus organisationnellement simple tel que celui-ci est un bon début.
Les plus lus