Conférence d’Advens et Gatewatcher : « Pourquoi engager une démarche cybersécurité par l’analyse des flux réseaux d’une infrastructure de santé ? »
Cas d’étude : le GHT de la Réunion
Au sein du GHT de la Réunion, il existe un besoin de sécurisation globale et continue. L’idée est d’avoir une vision complète de la cybersécurité couvrant toutes les activités de l’hôpital, pas seulement les activités essentielles mais aussi l’IT, le biomédical et l’industriel.
Les établissements de santé sont soumis à une réglementation particulière en matière de cybersécurité, avec des directives spécifiques pour les territoires ultramarins. Un tiers du CPOM (Contrat Pluriannuel d’Objectifs et de Moyens) réunionnais, signé avec l’ARS en 2021, est dédié à la cybersécurité.
30min pour en savoir plus – en vidéo !
Un premier niveau de maturité a été atteint : la fonction cyber est bien reconnue et valorisée au sein du GHT, et il existe une uniformisation des pratiques et des solutions. Cependant, le déploiement est parfois incomplet, et le plan de surveillance du SOC doit être perpétuellement challengé et amélioré. Face à la multiplicité des risques, il est impossible de déployer et de gérer des solutions spécifiques à chaque périmètre ou risque.
Pour atteindre le second niveau de maturité, le GHT de la Réunion s’est focalisé sur l’utilisation d’un NDR, visant à couvrir les périmètres IT, biomédical et industriel avec une seule sonde. Comme ce type de sonde n’existe pas, ils ont opté pour un NDR souverain qualifié ANSSI et ont ensuite réalisé un travail collaboratif. Il a donc fallu choisir un constructeur pour la sonde puis faire appel à des partenaires experts en cybersécurité.
Une fois la sonde choisie, il a fallu l’adapter au réseau de l’hôpital, constitué de nombreux systèmes hétérogènes qui communiquent plus ou moins entre eux.
L’objectif était de gagner en visibilité, en mettant en lumière les relations entre les objets, les comptes et leurs communications.
Il est également nécessaire de s’adapter à la saisonnalité de l’hôpital. L’activité numérique varie en fonction de l’afflux d’internes ou des périodes épidémiques. L’objectif est donc d’enrichir les plans de surveillance existants.
Le GHT de la Réunion doit savoir en temps réel ce qui se passe sur l’ensemble de son réseau, en identifiant particulièrement ce qui n’est pas actuellement pris en compte par leur EDR.
Que peut faire le NDR ?
Aujourd’hui, dans la plupart des établissements de santé, un EDR et un IAM pour la gestion de l’identité sont déjà en place. Malgré ces outils, il existe un manque de connaissance des communications entre les outils, les usagers et les applications, laissant des périmètres invisibles et donc vulnérables aux attaques.
L’enjeu est de comprendre un maximum de communications sur le réseau pour savoir qui fait quoi et dans quel objectif, et ce sur n’importe quel type de périmètre de l’hôpital.
La réactivité est cruciale lors d’une attaque, mais il faut être sûr que couper une connexion ou désactiver un utilisateur n’impacte pas le bon fonctionnement de l’hôpital. Un NDR permet de cibler précisément le lieu de l’attaque.
Avec un NDR, on se donne les moyens de découvrir ce que l’on ne cherche pas explicitement.
C’est ce travail que fournissent Gatewatcher et Advens pour le GHT de la Réunion.