Sécurité des SI de santé : une rentrée chaude bouillante

Ah ! j’allais oublier : il y a bientôt un an, à la sortie d’une conférence aux Assises de Monaco, je faisais un pari avec Gérôme Billois, expert cyber chez Wavestone : Gérôme soutenait la position de l’Anssi qui prétendait que d’ici à cinq ans la situation de la menace cyber serait réglée (comme l’a été la piraterie maritime aux xviii^e siècle), et moi la position exactement inverse, à savoir que la chienlit ne faisait que démarrer. Comme je l’écrivais dans un billet de décembre dernier, j’espérais vraiment, vraiment, vraiment, perdre… sauf que rien ne semble en prendre le chemin.

Et aussi la plateforme de messagerie sécurisée Signal qui subit une attaque, c’est une première. Plus précisément, c’est un serveur chargé de vérifier les numéros de téléphone qui s’est fait attaquer. Bon, comme quoi, même chez les très bons, on peut se faire avoir, ce qui me remonte un tantinet le moral après la news ci-dessus.

Sinon, c’est Corilus (l’éditeur de Softalmo) qui a affolé les RSSI de tous les CH/CHU clients, en contactant le mercredi 24 août au soir les équipes informatiques d’astreinte pour demander de verrouiller dare-dare les comptes de connexion VPN de télémaintenance. Gros buzz sur le canal Tchap des RSSI, en lien avec la cellule de cyberveille. Et, à l’heure où ce billet est rédigé, aucune explication ni justification. Quand Corilus aura réglé ses problèmes techniques, on lui conseille de réviser ses procédures de com : standard injoignable, aucune communication sur le site Web, bref de l’amateurisme quasi professionnel !

À lire aussi : Cybersécurité : « Dans le monde du logiciel, on peut vendre un produit pas du tout sécurisé »

Bon, sinon, à la suite de l’attaque du CHSF, les pouvoirs publics ont annoncé en grande pompe le déblocage de 20 millions d’euros pour la cybersécurité des établissements de santé. Une telle somme ne parle que pas ou peu à l’individu lambda. Elle paraît énorme, tout le monde la ramène au prix de sa voiture ou de sa maison et se dit qu’avec une telle somme on peut en faire des trucs. Petite explication avec la calculette : il y a 135 GHT, ce qui donne 148 148 euros par GHT. Tout de suite, c’est moins sexy, d’autant que l’on ne parle pas des centaines d’établissements (Éhpad entre autres) qui ne sont rattachés à aucun GHT, mais passons. Avec cette somme fabuleuse, que va-t-on pouvoir faire ? Déjà, c’est de l’investissement et pas de l’exploitation, il va donc falloir ventiler cette somme sur l’achat de solutions dont la métrique de tarif est souvent de trois ans (abonnement aux mises à jour d’un AV, d’un scanner, d’un IDS, etc.). On en arrive alors à 49 382 euros par an sur trois ans : pas de quoi payer un SIEM, même à prix cassé, ni un module AV en analyse d’un LAN biomed, ni une sonde en mirroring. Et encore je ne parle même pas des bonshommes qu’il va falloir pour installer le bazar (eh oui, tout ne se sous-traite pas) ni pour l’exploiter (eh oui, les consoles de supervision ne se surveillent pas par l’opération du Saint-Esprit).

Ah ! j’allais oublier : un petit test de phishing a été réalisé au Cern[1] (dont une bonne partie des personnels ont au minimum BAC + 18), avec faux mail issu d’une adresse mail bidon, invitant à cliquer sur un lien pour remplir un formulaire avec login et password, la totale. Résultat : 1 800 personnes ont religieusement saisi leurs ID + MDP. On parle du Cern, là, pas du club de tricot du quartier de ma grand-mère ! Débats sur les réseaux sociaux, mais si si si il faut former et sensibiliser, ce qui, paraît-il, ferait diminuer le risque ! Que dalle les amis, tant qu’il reste un seul gugusse qui clique, le risque est le même. La seule valeur ajoutée démontrée de la sensibilisation est de vendre des produits et des prestations de sensibilisation… à l’efficacité jamais démontrée, n’en déplaise à certains.

Sinon, l’année scolaire n’a même pas commencé que je vois des collègues et confrères déjà fatigués et presque démotivés par l’ambiance générale de charge de travail et de moyens. L’attaque du CHSF est grave, mais, plus généralement, les alertes SSI pleuvent au quotidien à un rythme toujours plus soutenu, et les équipes ont du mal à faire face. Je ne suis pas très optimiste…

Heureusement qu’il y a le Claaouuud.

[1] https://www.nextinpact.com/lebrief/69831/cybersecurite-au-cern-plus-1-800-personnes-sont-tombees-dans-piege-dun-faux-email