Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Hôpitaux du Sud-Ouest en panique : faut-il tirer sur la prise pour se protéger des ransomware ?

février 2021 par Regis Fattori, Director of Business Development, CyberSecurity chez Bertin IT - Groupe CNIM

Le 11 février France 3 rapportait la panique qui s’est installée quand les onze établissements du groupement hospitalier de Dordogne ont failli subir le même sort que celui de Dax, victime d’un ransomware (rançongiciel en Français) qui a arrêté tous les systèmes informatiques et forcé le retour au crayon-papier en pleine pandémie.

La premier diagnostic de l’incident fait apparaitre que le groupement hospitalier était la victime collatérale de son fournisseur informatique, auquel il était donc visiblement connecté par réseau. La décision qui a suivi a été de désactiver les serveurs de sauvegarde pour protéger les données de secours « au regard de ce qui s’est passé à Dax ».

Il faut saluer la rapidité de la réaction, mais la méthode interroge : N’avons-nous comme solution contre la propagation des virus que de « tirer sur la prise » ? Est-ce un manque de préparation, de compétences, ou de solutions techniques ?

Les attaques par rançongiciel, (virus qui chiffre les données, assorti d’une demande de rançon) sont connues depuis plusieurs années, et l’ANSSI ne cesse de multiplier les mises-en-garde. Par ailleurs, le secteur de la Santé et les collectivités locales ont été identifiées comme des cibles prisées par les pirates. Ce nouvel incident souligne un défaut de protection flagrant face au risque de propagation des virus. La réaction surprenante dans la presse des dirigeants de Dax (qui trouvent cette attaque « odieuse ») interroge sur la stratégie de défense qu’ils ont choisie.

Les hôpitaux sont des organisations qui sont équipées de pare-feux, d’antivirus et de sondes de détection et font appel à des prestataires dont les compétences peuvent être vérifiées auprès de l’ANSSI. Pour autant, on ne peut que constater l’échec de la détection des rançongiciels, que ce soit avec les antivirus de nouvelle génération ou les systèmes EDR (Endpoint Detection and Response). Quant aux systèmes de surveillance élaborés (SOCs ou SIEMs) qui nécessitent des moyens humains importants, ils sont réservés aux grandes organisations du fait de leur coût. Mais au-delà de l’aspect budgétaire qui revient systématiquement quand on parle de l’hôpital, il est également question de l’adéquation des moyens mis en œuvre face à une menace qui évolue rapidement, un sujet de gouvernance. Augmenter les moyens consacrés à la détection des virus n’ayant visiblement pas donné les résultats escomptés, il serait opportun de réallouer quelques efforts à des mesures de protection visant à limiter leur propagation. L’analogie avec la crise sanitaire ne devrait pas échapper aux dirigeants du monde de la Santé.

Deux mesures s’imposent immédiatement quand on analyse l’incident des hôpitaux de Dordogne : L’isolation du réseau vis-à-vis des prestataires externes, et la mise en sécurité hors réseau des sauvegardes. Il existe une solution technique efficace, sous forme d’équipement réseau intégré : la Passerelle d’Echange Sécurisée (Google vous aidera à en trouver), qui répond aux principes d’architecture recommandés par l’ANSSI. Renforçons l’isolation des réseaux et des sauvegardes et les réactions seront beaucoup plus sereines lors de la prochaine vague de virus informatiques.




Voir les articles précédents

    

Voir les articles suivants