Protéger son SIH, pas de formule magique, juste un retour aux fondamentaux
Tous les DSI et RSSI ont cette question en tête : « Comment se protéger de la menace cyber ? ».
Et si, pour y parvenir, il suffisait de revenir aux fondamentaux ? C’est le choix fait par le CH Henri Laborit (86) depuis des années et les résultats sont là : lors du dernier pentest, les consultants n’ont pas réussi à compromettre l’AD. Ils n’ont d’ailleurs pas réussi à faire grand-chose, pourtant ce n’est pas faute d’avoir essayé ! Un miracle ? Pas du tout ! Merlin l’Enchanteur et Harry Potter n’ont qu’à bien se tenir ! Ici, pas de formule magique, simplement un retour aux fondamentaux.
Un SI est la composante de cinq éléments : les utilisateurs, les machines, les serveurs, le réseau et l’équipe informatique. Pour bien se protéger, il ne faut occulter aucun et évaluer correctement chacun d’entre eux pour déterminer les plus robustes et les plus sensibles.
Le succès du CH Laborit pour sécuriser son SI repose principalement sur : les utilisateurs, le réseaux et l’équipe informatique.
Les utilisateurs, ce n’est pas un scoop, sont bien souvent le maillon faible de la chaîne. C’est un fait irréfutable, l’humain n’est pas infaillible. Même le plus aguerri peut commettre une erreur d’inattention. Il est donc indispensable de faire le moins possible porter la responsabilité de la sécurité sur l’utilisateur final. Cela ne veut pas dire qu’il ne faut pas le sensibiliser, mais il ne doit pas être le pilier central, sinon les fondations sont instables. Une fois ce paradigme posé, il faut donc chercher à l’imiter l’impact que les utilisateurs peuvent avoir sur le SI. Cela passe par trois points : la politique des mots de passe, les droits et les accès.
La gestion des mots de passe est souvent vue comme une vraie gageure pour les utilisateurs (et les informaticiens). Pourtant, dans le domaine de la santé, nous avons une solution juste sous notre nez : la carte CPx. Grâce à elle et avec un peu d’ingénierie, au CHHL, les utilisateurs n’ont à connaître que leur code PIN et rien d’autre. Cela laisse ainsi le champ libre pour définir des mots de passe robustes de 32 caractères que l’utilisateur ne pourra pas divulguer, puisqu’il n’en aura jamais connaissance. La sécurité est largement augmentée et l’usage quotidien facilité pour les agents, le duo gagnant !
Le réseau permet de gérer la vitesse de propagation de l‘information au quotidien, mais également en cas de cyberattaque. Si dans la vie de tous les jours, tout circule comme sur une autoroute, il en ira de même lors d’une action malveillante. En revanche, si le réseau s’apparente à une toile d’araignée bien complexe, c’est une tout autre histoire. Certes cela créera quelques frictions dans la gestion quotidienne (plus facilement négociable dans le domaine psy qu’en MCO, on ne va pas se mentir), mais le jour où un attaquant se lancera à l’assaut du SI, s’il doit passer des fils barbelés puis des douves avant d’arriver à la porte du château, puis que chaque pièce est barricadée, ce sera forcément plus délicat pour lui d’agir et ses impacts seront plus limités.
Au sein du CHHL, deux règles de base assurent ces protections :
- Un usage + un bâtiment = un VLAN : quand on a près de 500 VLAN, en cas d’attaque on peut beaucoup plus facilement isoler et donc limiter le nombre de personnes impactées
- Tout ce qui n’est pas explicitement autorisé est interdit : avec cette règle, plus de shadow IT. Le dispositif n’est pas connu de l’informatique ? Il ne peut rien faire sur le réseau !
Mais ce qui fait toute la différence, dans cette histoire, c’est l’équipe informatique. Avoir des agents passionnés et compétents, cela n’a pas de prix. Pour ça, les missions confiées doivent attirer le bon profil. Faire du babysitting de prestataires, cela ne fait fantasmer aucun férus d’informatique !
Lorsque le RSSI se focalisera entièrement sur la sensibilisation des utilisateurs finaux sans avoir besoin de faire la chasse aux mauvaises pratiques des informaticiens ; lorsqu’à l’arrivée d’un nouvel outil, la première réflexion de ces derniers sera de s’interroger sur la manière dont on peut le sécuriser ; alors ce sera gagné !