Vous êtes dans : Accueil > Tribunes libres >

Sécurité des SI de santé : une rentrée chaude bouillante

Cédric Cartau, MARDI 30 AOûT 2022

Même pas eu le temps de ranger les tongs et de sortir le sable d’entre les doigts de pied que cela démarre à fond avec l’attaque cyber de l’hôpital de Corbeil-Essonnes (CHSF). À l’heure où ces lignes sont écrites, très peu d’informations ont fuité, notamment sur le mode d’attaque (le vecteur), le mode de propagation et l’étendue des dégâts. Certaines sauvegardes semblent également avoir été chiffrées (mais apparemment pas toutes), et nous n’en savons pas plus sur les systèmes touchés, en partie ou totalement.Par contre, nous avons confirmation que, comme à chaque sinistre de ce genre dans un domaine aussi complexe que celui de la santé, moult consultants en tout genre qui n’ont jamais mis les pieds de leur vie dans un SI de santé (si tant est qu’ils aient d’ailleurs mis les pieds dans un SI tout court) ont un avis bien tranché sur la question, du genre « il faut tout mettre dans le Claaouuud ». Ça fait plaisir de rencontrer des gens hyperintelligents, ils vont pouvoir nous expliquer comment faire ce que nous n’avons jamais réussi à construire, nous autres les crétins hospitaliers, par exemple mettre les automates de laboratoire dans le Claaouuud, ou l’informatique de la chaîne de stérilisation, ou les enceintes réfrigérées des banques de tissus, ou les terminaux multifonctions en chambre… Bon, OK, j’arrête.

Ah ! j’allais oublier : il y a bientôt un an, à la sortie d’une conférence aux Assises de Monaco, je faisais un pari avec Gérôme Billois, expert cyber chez Wavestone : Gérôme soutenait la position de l’Anssi qui prétendait que d’ici à cinq ans la situation de la menace cyber serait réglée (comme l’a été la piraterie maritime aux xviiie siècle), et moi la position exactement inverse, à savoir que la chienlit ne faisait que démarrer. Comme je l’écrivais dans un billet de décembre dernier, j’espérais vraiment, vraiment, vraiment, perdre… sauf que rien ne semble en prendre le chemin.

Et aussi la plateforme de messagerie sécurisée Signal qui subit une attaque, c’est une première. Plus précisément, c’est un serveur chargé de vérifier les numéros de téléphone qui s’est fait attaquer. Bon, comme quoi, même chez les très bons, on peut se faire avoir, ce qui me remonte un tantinet le moral après la news ci-dessus.

Sinon, c’est Corilus (l’éditeur de Softalmo) qui a affolé les RSSI de tous les CH/CHU clients, en contactant le mercredi 24 août au soir les équipes informatiques d’astreinte pour demander de verrouiller dare-dare les comptes de connexion VPN de télémaintenance. Gros buzz sur le canal Tchap des RSSI, en lien avec la cellule de cyberveille. Et, à l’heure où ce billet est rédigé, aucune explication ni justification. Quand Corilus aura réglé ses problèmes techniques, on lui conseille de réviser ses procédures de com : standard injoignable, aucune communication sur le site Web, bref de l’amateurisme quasi professionnel !

Bon, sinon, à la suite de l’attaque du CHSF, les pouvoirs publics ont annoncé en grande pompe le déblocage de 20 millions d’euros pour la cybersécurité des établissements de santé. Une telle somme ne parle que pas ou peu à l’individu lambda. Elle paraît énorme, tout le monde la ramène au prix de sa voiture ou de sa maison et se dit qu’avec une telle somme on peut en faire des trucs. Petite explication avec la calculette : il y a 135 GHT, ce qui donne 148 148 euros par GHT. Tout de suite, c’est moins sexy, d’autant que l’on ne parle pas des centaines d’établissements (Éhpad entre autres) qui ne sont rattachés à aucun GHT, mais passons. Avec cette somme fabuleuse, que va-t-on pouvoir faire ? Déjà, c’est de l’investissement et pas de l’exploitation, il va donc falloir ventiler cette somme sur l’achat de solutions dont la métrique de tarif est souvent de trois ans (abonnement aux mises à jour d’un AV, d’un scanner, d’un IDS, etc.). On en arrive alors à 49 382 euros par an sur trois ans : pas de quoi payer un SIEM, même à prix cassé, ni un module AV en analyse d’un LAN biomed, ni une sonde en mirroring. Et encore je ne parle même pas des bonshommes qu’il va falloir pour installer le bazar (eh oui, tout ne se sous-traite pas) ni pour l’exploiter (eh oui, les consoles de supervision ne se surveillent pas par l’opération du Saint-Esprit).

Ah ! j’allais oublier : un petit test de phishing a été réalisé au Cern[1] (dont une bonne partie des personnels ont au minimum BAC + 18), avec faux mail issu d’une adresse mail bidon, invitant à cliquer sur un lien pour remplir un formulaire avec login et password, la totale. Résultat : 1 800 personnes ont religieusement saisi leurs ID + MDP. On parle du Cern, là, pas du club de tricot du quartier de ma grand-mère ! Débats sur les réseaux sociaux, mais si si si il faut former et sensibiliser, ce qui, paraît-il, ferait diminuer le risque ! Que dalle les amis, tant qu’il reste un seul gugusse qui clique, le risque est le même. La seule valeur ajoutée démontrée de la sensibilisation est de vendre des produits et des prestations de sensibilisation… à l’efficacité jamais démontrée, n’en déplaise à certains.

Sinon, l’année scolaire n’a même pas commencé que je vois des collègues et confrères déjà fatigués et presque démotivés par l’ambiance générale de charge de travail et de moyens. L’attaque du CHSF est grave, mais, plus généralement, les alertes SSI pleuvent au quotidien à un rythme toujours plus soutenu, et les équipes ont du mal à faire face. Je ne suis pas très optimiste…

Heureusement qu’il y a le Claaouuud.

[1] https://www.nextinpact.com/lebrief/69831/cybersecurite-au-cern-plus-1-800-personnes-sont-tombees-dans-piege-dun-faux-email 

#hospitaliers#rssi


Les plus lus