Le GHT Aisne-Nord Haute-Somme mise sur le NDR pour renforcer sa cybersécurité

Le GHT Aisne-Nord Haute-Somme, ce sont environ 2 700 salariés et 900 lits, avec un système d’information complexe – comme les connaissent les établissements de santé –, marqué notamment par les équipements biomédicaux. Sans compter des contraintes métiers très particulières. 

Mais la cybersécurité n’y est pour autant pas négligée, loin de là, avec protection des accès à privilèges par les outils de Wallix assortis d’authentification à facteurs multiples (MFA), gestion des comptes via Microsoft Entra, et une sécurité périmétrique (pare-feu) et en profondeur (EDR) signée Palo Alto. Et pas question de considérer cela comme suffisant. 

Arnaud Blasyk, RSSI et DPO du GHT Aisne-Nord Haute-Somme, s’est donc associé les services de Becycure pour aller plus loin, et notamment gagner en visibilité sur les menaces. Le MSP français propose un service 24/7 souverain, avec des équipes de supervision réparties entre Nouméa, Paris et les Antilles. Ce sont elles qui vont s’occuper de surveiller ce que surveilleront les sondes Jizô de Sesame IT. 

Ces sondes comptent parmi celles qualifiées par l’Agence nationale de la sécurité des systèmes d’information (Anssi) et basées sur l’IDS Suricata. Ces sondes de NDR sont enrichies avec une bonne dose, indispensable, de renseignement sur les menaces. Cerise sur le gâteau, Sesame IT a travaillé depuis plusieurs années à traiter les flux hors bureautique, avec notamment les systèmes OT.

Le GHT Aisne-Nord Haute-Somme voulait être prêt pour les Jeux olympiques de 2024. Mais la décision a été prise tout au début du printemps : il fallait aller vite. Un problème ? Avec la NDR, pas nécessairement.

Une phase de cadrage d’une journée a été, de toute évidence, nécessaire pour une préconfiguration, suivie d’une journée d’intervention pour la livraison et l’installation de la sonde. La prestation a démarré le 26 juillet dernier avec l’activation des règles de détection.

Sans surprise, des faux positifs ont initialement été remontés en nombre : c’est l’inévitable période d’étalonnage et d’apprentissage des sondes réseau. 

Mais quelques mois plus tard, explique Arnaud Blasyk, les rapports d’incident sont relativement rares – il s’agit surtout d’alertes sur des défauts de configuration.

Les sondes Jizô surveillent le trafic est-ouest et complètent ainsi la visibilité sur les activités réseau potentiellement dangereuses, simplement suspectes, ou non autorisées. Du trafic TOR a ainsi été constaté, entre listes de nœuds de sortie connus et analyse comportementale.

À cela se sont ajoutées des tentatives d’attaque en force brute sur un serveur FTP – qui a été isolé le temps d’identifier les sources de ces essais. Mais il a également fallu compter avec la détection de requêtes plus préoccupantes, associées aux activités de l’acteur malveillant Nobelium (APT29) : une détection précoce, de machines potentiellement compromises, susceptible d’avoir évité des déplacements latéraux avant d’éventuels dommages préjudiciables à l’activité du GHT.

Les sondes ont également permis de détecter des actifs « oubliés », à commencer par une machine virtuelle Kali Linux qui avait été déployée antérieurement à l’occasion d’un test d’intrusion.

En pratique, Becycure s’occupe de la supervision des sondes, remontant les alertes aux équipes de cybersécurité des établissements du GHT, suivant des processus bien établis, mais potentiellement amenés à évoluer à l’avenir : car c’est au sein du GHT qu’est assuré le croisement entre alertes remontées par la NDR et les données des autres composants de cybersécurité. Une situation induite par le fait que chaque établissement du GHT avait déjà ses outils et partenaires avant le déploiement de Jizô, mais qui aide à prendre en compte les spécificités métiers des établissements concernés.

Ce déploiement n’est en tout cas qu’un début. L’extension de la couverture de détection au biomédical est à venir, mais également une utilisation des sondes dans une logique de prévention des fuites de données (DLP), avec la détection de données personnelles sensibles dans les flux réseau.