Sécuriser le site Web de son établissement sans rien dépenser !
Quand il s’agit de données de santé, la sécurité n’a pas de prix. Malgré cela, il n’est pas obligatoire de dépenser des fortunes pour faire de la sécurité. Améliorer la sécurité du site Web de son établissement sans dépenser un centime, c’est possible !
En cette période où la défiguration de sites Web et les fuites de données sont aussi en vogue que la chasse aux Pokémons, se pencher sur la sécurité de nos sites ne serait pas du luxe.
Les défigurations
On constate depuis plus d’un an une forte augmentation des défigurations de sites d’administrations, d’associations, d’entreprises ou d’établissements de soins. Le principe est simple, exploiter les failles connues de CMS pour afficher des messages politiques ou religieux sur des sites vulnérables.
La défiguration a pour principal effet d’entacher l’image de l’établissement et de faire perdre la confiance que les patients nous accordent en ce qui concerne le traitement de leurs données.
L’accès aux données de santé
Même si pour de nombreux établissements encore, un site Internet n’est rien d’autre qu’une « vitrine », certains commencent à déployer des portails d’accès patients, permettant l’accès à son dossier personnel ainsi que la possibilité d’échanger avec l’établissement, préadmission, télé-versement de documents administratifs, prise de rendez-vous…
Cela implique de ce fait une interaction, de près ou de loin avec le SIH, et donc une nouvelle porte d’entrée possible pour des personnes malfaisantes.
En cas d’incident, cela présente plusieurs risques :
- Manque de confidentialité : fuite de données de santé
- Indisponibilité de certaines données, ce qui peut présenter un risque pour les patients
- Perte de l’intégrité des données, et là nous sommes sur un risque majeur pour la santé du patient si l’incident interfère sur des informations relatives à une posologie ou aux antécédents médicaux.
Améliorer la sécurité de son site
Tous les experts vous le diront, faire de la sécurité ne veut pas toujours dire casser sa tirelire, que ce soit sur le plan opérationnel ou au niveau du management. Voyons ce qu’il nous est possible de faire pour améliorer la sécurité de notre site sans avoir à supplier la DG de nous accorder encore un peu de budget pour la SSI.
#HTTPS #SSL #TLS
Commençons par le début. A partir du moment où le site de l’établissement propose une authentification et un échange de données avec le patient, l’utilisation du protocole Web http est à proscrire car il permet un échange de données en clair entre le terminal du patient et le serveur Web de l’établissement. L’utilisation du protocole sécurisé HTTPS représentait un coût pendant des années du fait de l’investissement dans un certificat SSL/TLS. On parle toujours historiquement de SSL, mais son utilisation est dépréciée du fait de son obsolescence, sa dernière version, la V3 datant de 1996. On utilise aujourd’hui le protocole TLS, dans sa version 1.2. La compatibilité avec SSL V3 a été abandonnée en juin 2015. Pour en revenir à nos certificats, avec l’ouverture au public du projet open source Let’s Encrypt, nous n’avons plus l’excuse financière car elle délivre des certificats gratuitement.
Voilà un donc premier problème réglé !
L’outil fourni par Let’s Encrypt permet de générer des certificats avec l’algorithme de hachage SHA256, le SHA1 étant fortement déprécié aujourd’hui pour son manque de résistance aux attaques et une clé de chiffrement RSA de 2048 bits ou 4096 bits, ce qui permet un excellent niveau de chiffrement des données. Pour résumer, si vous faites appel à une autre autorité de certification et que l’on vous propose du SHA1, fuyez !
Deux outils en ligne très intéressants qui peuvent vous permettre de tester le niveau de chiffrement de votre site :
https://www.ssllabs.com/ssltest/
#UPDATE
Mettre à jour son serveur Web (système d’exploitation + applicatifs), ainsi que son CMS (si on en utilise un), on ne cesse de le répéter, mais cela est indispensable.
#POURVIVREHEUREUXVIVONSCACHÉS
Si vous utilisez un CMS, ce qui est loin d’être l’idéal en matière de sécurité, enlever son nom et sa version des pages et de leurs entêtes peut permettre de réduire les risques.
Couper l’accès à l’interface d’administration depuis Internet est important également.
Dans la mesure du possible, enlever les entêtes révélant la version (surtout quand on a trois versions de retard) du serveur et du langage utilisé, sera un nouveau bâton mis dans les roues des attaquants.
Pour voir ce qu’affiche publiquement votre serveur, je vous invite à aller voir les résultats que propose le moteur de recherche Shodan lorsqu’on saisit son adresse :
#TECHNOS #HASH #FAITESLESBONSCHOIX
Eviter les technologies « à risque », pour lesquelles de nombreuses failles sont régulièrement exploitées, comme Flash ou Java, ne sera que bénéfique pour la sécurité des données de vos patients.
Ne stockez pas de mots de passe en clair dans votre base de données, cela va sans dire, utilisez des fonctions de hachage robustes du type Bcrypt, Scrypt ou Argon.
Je vous recommande l’épisode 36 du Comptoir Sécu sur les mots de passe avec la participation d’Hydraze sur ce sujet.
#HEADERS #XSS #HSTS #HPKP #MITM #AUBOULOTLESADMINS
Un paramétrage affiné votre serveur Web est là encore, une action qui vous permettra d’augmenter considérablement le niveau de sécurité de votre site, sans avoir à mettre la main au porte-monnaie.
Un paramétrage judicieux des entêtes permet de protéger contre de nombreuses attaques.
Avec les entêtes X-XSS Protection et Content-Security-Policy, il est possible de se protéger contre le cross-site scripting (XSS).
Autoriser les « frames » en provenance du site lui-même permet de prévenir contre le détournement de clic (clickjacking).
L’activation du protocole HSTS et de la technologie HPKP permet de se prémunir contre les attaques du type « man in the middle », comme l’ANSSI l’explique dans un récent bulletin.
Afin de tester votre site et améliorer sa sécurité, la fondation Mozilla propose depuis peu un service en ligne, largement inspiré du superbe projet de Scott Helme, Security Headers :
https://observatory.mozilla.org/
Maintenant que vous avez les cartes en main, à vous de jouer !