Cybersécurité du système de santé : beaucoup reste à faire

Une prise de conscience dans un secteur encore peu mature

Cet accroissement spectaculaire de la menace dont fut notamment victime le CHU de Rouen en 2019 a poussé les responsables cybersécurité des hôpitaux français à réagir. Guillaume Salomé, responsable Infrastructure et Cybersécurité au groupe hospitalier de l’Institut Catholique de Lille a ainsi expliqué : « nous avons bien compris qu’aujourd’hui les hackers ont pour but de détruire les entreprises les plus sensibles. La question n’est plus de savoir si on va être attaqué, mais quand et comment nous allons pouvoir retracer les événements pour remettre en route notre activité ».

Cette situation a certainement entraîné une prise de conscience de la menace informatique auprès d’utilisateurs jusque-là peu impliqués, estime Nadhir Turki, administrateur réseau et téléphonique au centre hospitalier de Calais : « nous devons sensibiliser les utilisateurs sur la cybersécurité, or ce n’était pas une démarche forcément bien vue dans le secteur. Il n’était pas simple d’expliquer à un responsable médial ce que la sécurité pouvait lui apporter de plus. À cet égard, la crise sanitaire a débloqué les choses ».

« La question n’est plus de savoir si on va être attaqué, mais quand et comment nous allons pouvoir retracer les événements pour remettre en route notre activité. »

Pour Guillaume Salomé, la maturité du secteur de la santé vis-à-vis de la cybersécurité est en train d’évoluer : « nous sommes un peu en phase d’adolescence dans l’adoption de la cybersécurité, en plein changement et toutes ces attaques montrent bien que nous avons besoin de plus de cybersécurité ».

Ce gain en maturité doit s’opérer alors que les hôpitaux doivent de plus en plus ouvrir leur système d’information à des tiers, notamment la médecine de ville, les laboratoires, les dossiers patients régionaux. « Nous sommes obligés de nous protéger, de sécuriser nos ressources internes, mais il nous faut aussi ouvrir et sécuriser les flux, alors que jusqu’à présent on pouvait avoir tendance à faire confiance », résume le responsable du groupe hospitalier de l’Institut Catholique de Lille.

Un premier focus sur la sécurité des accès externes

De multiples applications sont aujourd’hui nécessaires à l’activité d’un hôpital et, comme dans bon nombre d’entreprises, des accès distants ont été ouverts pour le personnel soignant, le personnel administratif, mais aussi des personnes que l’on maîtrise moins, à savoir, les prestataires.

La volonté de sécuriser les accès ouverts à des tiers, notamment aux prestataires était présente chez les trois responsables de la table ronde. « Les prestataires nous sont indispensables, car ils maîtrisent les solutions, mais ils peuvent eux-mêmes être atteints par des ransomwares, des virus ou de la malveillance », relève Guillaume Salomé.

« Nous avons de l’ordre de 200 prestataires qui peuvent se connecter chez nous et nous avions besoin de traçabilité sur leur activité. »

Bruno Le Bihan, responsable des systèmes et bases de données du groupe hospitaliser Bretagne Sud fait le même constat : « les attaques lors du premier confinement nous ont poussés à modifier beaucoup de choses sur la gestion des comptes utilisateurs. Nous avons relevé le niveau de sécurité des comptes administrateurs : nous ne confions plus ces comptes aux prestataires et utilisateurs. Nous avons de l’ordre de 200 prestataires qui peuvent se connecter chez nous et nous avions besoin de traçabilité sur leur activité. C’est l’une des raisons qui nous ont poussés vers Wallix. Le PAM permet de visualiser leur activité et avoir cette traçabilité ».

Le PAM [gestion des accès à privilèges, N.D.L.R.] a des impacts collatéraux parfois surprenants sur les prestataires, avec un taux d’erreurs et d’incidents en nette baisse. Le fait que les sessions soient désormais enregistrées et peuvent être visionnées en cas d’incident expliquant certainement cela.

« Tous nos serveurs sont aujourd’hui considérés comme critiques et passent par l’enregistrement des sessions. L’utilisateur en est averti par un message, » indique ainsi Nadhir Turki. « Cela nous permet de faire des vérifications s’il survient un problème. Pour l’instant il n’y a pas eu de cas. Cela responsabilise les gens. 40 % de nos prestataires sont aujourd’hui passés dans ce mode de fonctionnement ».

Non seulement cette traçabilité abaisse indirectement le nombre d’erreurs, mais elle permet aussi au responsable de dépanner lui-même des solutions en s’inspirant des vidéos enregistrées par le PAM : « le délai d’intervention est très important pour un hôpital. On ne peut laisser un service sans accès au dossier patient informatisé (DPI) pendant plusieurs heures. En enregistrant les sessions, nous pouvons gagner en temps de réaction pour appliquer la manipulation déjà effectuée afin de relancer un service, par exemple. Cela nous permet de ne pas avoir à attendre des heures qu’un technicien se connecte pour refaire la même manipulation. Dans 80 % des cas, cela peut s’avérer suffisant ».

Le PAM est aussi un juge de paix pour les prestataires qui surfacturent leurs interventions : la DSI dispose du délai réel entre l’émission du ticket d’intervention et la connexion effective du technicien sur la machine. Elle dispose en outre de la durée exacte de l’intervention… de quoi réduire les ambitions du prestataire qui pourrait facturer 4 heures d’intervention pour 15 minutes de connexion.

Le PAM, un outil de sécurisation et de traçabilité pour les accès distants

Pour ces établissements hospitaliers, le PAM est venu répondre au besoin de sécurisation des accès distants et aux exigences de traçabilité des accès imposées par l’Agance nationale de la sécurité des systèmes d’information (Anssi) auprès des hôpitaux support de GHT (Groupements Hospitaliers de Territoire).

Guillaume Salomé explique les raisons qui l’ont poussé à déployer un PAM : « nous avons de multiples besoins. Le constat était que nos prestataires se connectaient en VPN SSL ; et s’ils connaissent bien l’équipement sur lequel ils doivent intervenir, la possibilité qu’il fasse un rebond vers d’autres ressources restait possible. Une fois connecté en RDS sur un serveur Microsoft, par exemple, rien ne l’empêchait de voir quels sont les ports réseau ouverts et d’aller un peu plus loin… Notre objectif était de mettre en place une solution d’accès simple, sécurisée, réalisant une surveillance de ces accès, mais qui allait surtout empêcher ces rebonds ».

« Nous devons sensibiliser les utilisateurs sur la cybersécurité, or ce n’était pas une démarche forcément bien vue dans le secteur. »

Avec le PAM Wallix, une personne connectée sur une machine ne va avoir accès qu’à cette machine, ce qui élimine le risque de rebond. En outre, la brique d’Access Management de l’offre est venue résoudre la problématique des VPN SLL qui nécessitaient un client : « la solution fonctionne en HTML5. N’importe qui disposant d’un accès Internet peut se connecter s’il dispose des droits ». 

Le PAM est aussi un moyen de muscler les moyens d’authentification de ces établissements et d’aller enfin au-delà du simple mot de passe : « l’authentification à double facteur sur notre VPN SSL, mise en place par l’hôpital de Calais, posait le problème des utilisateurs qui ne voulaient pas donner leur numéro de mobile », confie Nadhir Turki. « La mise en place d’un bastion nous a offert de multiples possibilités de double authentification par push sur application, par email ou par SMS ».

Guillaume Salomé espère pouvoir évoluer à terme vers une authentification double via l’Access Manager de Wallix, ce qu’il ne peut faire pour l’instant : « nos utilisateurs ne sont pas contraints à la double authentification pour des raisons de téléphone personnel. Nous avons fait le choix de rester sur une authentification classique via un mot de passe fort avec l’enregistrement des sessions. Toutefois, nous avons mis en place le bastion pour les accès à privilèges internes : nos administrateurs doivent passer par le bastion pour accéder aux ressources sensibles. Nous utilisons le système d’authentification multifacteurs (MFA) de Microsoft 365 avec un couplage qui fonctionne parfaitement ». Une double authentification pour les prestataires via l’envoi d’email sera sans doute la deuxième étape dans le renforcement des mesures de sécurité vis-à-vis des accès distants.

Vers une extension du domaine du PAM

Pour Bruno Le Bihan, le champ d’action du bastion commence à s’étendre du côté des équipements biomédicaux : « c’est plus complexe du fait de connexions un peu particulières, mais c’est un travail que nous menons sur les nouveaux automates notamment ».

La solution de Wallix permet ainsi d’interposer une couche de sécurité à des équipements qui en sont notoirement démunis, notamment ceux qui fonctionnent encore sous Windows XP ou Windows Server 2003, qui sont toujours bien présents dans le monde médical.

Le déploiement du PAM en lui-même n’est pas un projet complexe, de l’ordre d’une seule journée d’intervention au centre hospitalier de Calais. Mais Nadhir Turki relève un point nécessitant une attention particulière : « sur le plan technique, il faut bien étudier l’impact, sur chaque équipement, du changement des mots de passe d’administration ». Reste que, « le plus compliqué, c’est de convaincre les prestataires de changer les habitudes. Notre enjeu est maintenant de déployer le PAM sur tous les administrateurs internes ».

« Le plus compliqué, c’est de convaincre les prestataires, de changer les habitudes. »

Guillaume Salomé livre le même constat : « notre intégrateur nous a proposé peu de jours d’installation, mais nous avons pu constater qu’un PAM est effectivement très simple à mettre en place. Il faut néanmoins faire un accompagnement auprès des utilisateurs ».

Le responsable met l’accent sur la conduite du changement et la communication auprès des utilisateurs pour faciliter l’adoption de la solution. « Techniquement, nous avons la possibilité de mettre en place la solution en parallèle de l’existant et de migrer progressivement les utilisateurs. La prochaine étape sera de généraliser le PAM aux accès internes. Nous l’avons activé pour les administrateurs techniques. Nous allons maintenant l’ouvrir à la partie fonctionnelle. Nous songeons ensuite à mettre en place une authentification forte par MFA pour les prestataires extérieurs ».

Si le secteur de la santé semble un peu en retard sur la cybersécurité vis-à-vis d’autres secteurs comme la banque/assurance, ou le commerce de détail, il peut rapidement progresser grâce à des solutions plus matures, mieux intégrées. Reste aux directions générales et aux DSI à faire des choix afin de gonfler les budgets cyber dans un secteur où la priorité doit rester avant tout la santé des patients.