Stratégie de réponse aux ransomwares : élever un peu le débat

La stratégie de protection des entreprises privées ou publiques face à ce nouveau risque – létal dans certains cas – que constituent les ransomwares pourrait s’articuler autour des axes ou chantiers suivants :

Chantier 0 : indicateurs et guides

S’il est une chose dont on ne manque pas ici, ce sont bien les guides et les indicateurs en tout genre, rien d’autre à dire sur ce point.

Chantier 1 : créer des formations SSI dédiées

On manque de masters 2, mais aussi de licences 3. Ça fait juste dix ans qu’on le dit.

Chantier 2 : intégrer un cours de SSI dans toutes les formations de haut niveau

Facultés de médecine, écoles d’ingénieur, formations de management, formations de cadres de l’administration, d’avocats, etc. : aucun diplômé ne doit sortir du système éducatif sans avoir reçu un bagage minimal concernant la sécurité SI.

Chantier 3 : recruter des bras

Des gens qui expliquent aux entreprises quoi faire, on en trouve des palanquées. Des gens pour le faire, un peu moins. À un moment donné, il va bien falloir arrêter de tourner autour du pot et recruter. D’où l’importance du chantier 2. Et d’où l’importance de disposer de budgets adéquats, et pas simplement de crédits d’investissement.

Globalement, les débats publics faisant suite aux dernières attaques médiatisées ne vont pas plus loin que ces quatre chantiers. Ce ne sont pourtant pas les seuls.

Chantier 4 : légiférer sur les fondamentaux vis-à-vis des fournisseurs

C’est bien joli – et souvent justifié – de fustiger les hôpitaux qui ne mettent pas à jour leurs systèmes, mais quand cela est dû à une contrainte imposée par un fournisseur « à la ramasse », le poids du pauvre DSI hospitalier est bien faible. OS obsolètes, accès distants LAN to LAN sans aucun contrôle de sécurité, quand c’est une multinationale américaine qui l’établit dans ses conditions générales, seule la réglementation peut nous aider. Ce point est réclamé depuis des années par toute la profession. Rien que sur ce sujet il faut un groupe de travail.

Chantier 5 : contingenter les évolutions réglementaires ayant un impact SI

Quand une DSI consomme le tiers ou la moitié du temps de son Amoa à suivre (ou à tenter de suivre) la réglementation dans des domaines tels que la T2A ou les RH (on a les bulletins de salaire les plus illisibles du monde), difficile d’expliquer au DSI qu’il faut réduire la voilure du SI pour réaffecter des agents à la cyber.

Chantier 6 : suite du chantier précédent, réduire la voilure du SI

Les DSI n’ont pas tant un problème de moyens, n’en déplaise à certains, qu’un problème d’adéquation entre les moyens dont ils disposent et les projets fonctionnels qui leur tombent dessus à longueur de temps. 1,5 %, 2 %, qu’importe : c’est juste le fait de prétendre vouloir faire du Himss Level 6 avec même pas la moitié du budget nécessaire qui est choquant.

Chantier 7 : centraliser les DMZ

Pièces jointes infectées, sites Web rogues : la plupart des infections proviennent d’une interaction avec l’Internet. Aucun établissement – même un CHU – n’a les moyens d’avoir une DMZ correctement calibrée, avec des composants à jour. Il faut réorienter les architectures des DMZ, en les regroupant par région – a minima par GHT – et confier leur exploitation à des équipes dédiées 24/365. L’échelon idéal est régional, le national est trop gros et trop lourd. Cet aspect est fortement lié au chantier 4, car il va falloir imposer aux fournisseurs de passer par des bastions de prise de main : ça va faire drôle à certains fournisseurs quand on va leur expliquer que les accès LAN to LAN, c’est fini.

Chantier 8 : construire un Internet dédié santé avec des points d’entrée/sortie supervisés et maîtrisés

Suite logique du chantier précédent ou en combinaison avec ce dernier : l’armée le fait, et c’est désormais une nécessité pour les secteurs critiques. Une intervention de niveau opérateur national est indispensable, avec les appels d’offres de concession ad hoc. Le filtrage des IP « étrangères bizarres » relève justement d’une mission régalienne.

Chantier 9 : mettre en place une supervision centralisée

À l’échelon régional ou des GHT (encore une fois, le national est trop gros) avec SOC et Siem, le tout avec des opérateurs français, des infrastructures françaises et des logiciels nationaux.

Chantier 10 : mettre en place une task force sectorielle en santé

Avec 400 ou 500 agents, on voit mal comment l’Anssi pourra se déplacer sur plusieurs théâtres d’opération simultanés.

Tous ces chantiers ne sont évidemment pas exclusifs de ce que chaque établissement doit faire en interne : sécuriser son AD, segmenter son LAN, déployer un réseau d’admin, etc. Voir à ce sujet le Guide Cyber T3[1].
Et j’en ai forcément oublié.

[1]   https://www.apssis.com/nos-actions/publication.html