• Contenus gratuits
  • Notre offre
Menu
  • Ressources
    • Toutes les ressources
  • Infos
    • Toutes les infos
  • Essentiels
    • Tous les essentiels
  • Analyses
    • Toutes les analyses
  • Data
    • Data
  • Newsletters
  • Profil
    • Je teste 15 jours
    • Je me connecte
  • Profil
    • Mon profil
    • Je me déconnecte
CLOSE

Accueil > Financement et politiques publiques > Organisation métier > Les six points clés pour organiser un test d’intrusion de son SI hospitalier

Les six points clés pour organiser un test d’intrusion de son SI hospitalier

Les tests d’intrusion sont l’une des dispositions de cybersécurité que peut prendre un établissement de santé. mind Health revient sur les six étapes de la mise en place de ces tests, leur prix et intérêt.  

Par . Publié le 07 octobre 2019 à 16h57 - Mis à jour le 07 octobre 2019 à 16h57
  • Ressources

La société de cybersécurité FireEye se penchait cet été sur le coût des données de santé sur le dark web : des bases de données liées à la santé se vendent pour des sommes comprises entre 480 et 5 500 $. Les données de santé semblent donc attiser la convoitise des cybercriminels. Parmi les prérequis des établissements de santé publics pour le programme Hop’En, la direction générale de l’offre de soins a par ailleurs inclue la sécurité des systèmes d’information. Une importance accrue est accordée à la protection des données de santé et les tests d’intrusion informatique font partie des leviers de cybersécurité. 

1 – Comprendre l’utilité d’un test d’intrusion : 

“Un test d’intrusion sert à garantir le niveau de sécurité du système d’information, au sens d’une capacité à résister à un attaquant, explique Cédric Cartau, responsable sécurité des systèmes d’information (RSSI) et data protection officer (DPO) au CHU de Nantes. Il consiste de demander à un humain ou à un programme de pénétrer un site d’information plus ou moins sensible et avec des moyens techniques assez limités, et peut être effectué de l’intérieur ou de l’extérieur”. 

Pour Loïc Chabanier, associé chez EY, le but des tests d’intrusion est de “protéger la sécurité des données et d’assurer l’intégrité et la confidentialité de la donnée sur toute la chaîne de valeur” : “les tests d’intrusions sont réalisés de manière préventive ou en réaction à une situation. Cela consiste à valider en temps réel que ce qui a été mis en place l’a été correctement et fonctionne. Ou de tester la sécurité en situation de crise. Aussi, quand des vulnérabilités importantes sont suspectées, il faut les corroborer ou en évaluer les profondeurs via un test d’intrusion”. Collaborateur chez Intrinsec, Quentin Lemaire compare un test d’intrusion (communément appelé pentest, pour penetration test, en anglais) à “la prise d’une photo à un instant t” du niveau de sécurité du périmètre audité (application, site web, système d’information, etc.) : “La logique est de faire régulièrement des campagnes globales de tests d’intrusion afin de suivre les évolutions et la bonne application des correctifs de sécurité. C’est aussi d’en réaliser dans les nouveaux environnements : quand l’établissement se dote d’une nouvelle application, quand un site web est construit ou un groupement racheté. Les vulnérabilités détectées ne diffèrent pas drastiquement des autres secteurs, par exemple : des systèmes qui ne sont pas à jour, des mots de passe par défaut et des problèmes de cloisonnement réseau. Sauf qu’à l’hôpital, le risque – une modification de la dispensation d’un médicament comme l’insuline – est plus grand”. Pour Cyrille Barthélémy, PDG d’Intrinsec : “je ne dirais pas que l’hôpital est le plus grand consommateur en tests d’intrusion, bien que j’estime que ce secteur fait face à des enjeux significatifs. Cela s’explique surtout par une contrainte budgétaire. La santé ne représente pas de part significative dans nos activités, mais principalement en raison de notre positionnement commercial : nous réalisons des tests dans quelques uns seulement par an, notre part d’activité des pentests vers les hôpitaux étant de l’ordre de 2 % par an. Les secteurs les plus consommateurs sont la finance, le luxe, l’industrie et la pharma, la défense”. 

2 – Définir la fréquence des tests d’intrusion : 

Une question qui se pose est celle de la régularité avec laquelle un établissement de santé doit réaliser ses tests d’intrusion. “Le RSSI est généralement le commanditaire du test d’intrusion mais ça peut aussi être une volonté du DSI, de certains services métiers ou encore du directeur général qui souhaiterait avoir une idée de la cybersécurité après un incident, souligne Cédric Cartau. Dans les bonnes pratiques, il faut réaliser un test d’intrusion à minima une fois par an. Mais des tests non réguliers et spécifiques peuvent aussi être réalisés. C’est le cas quand un nouveau portail patient est mis en place par exemple et qu’il permet au patient de se connecter à son dossier médical. L’hôpital doit alors organiser un test d’intrusion externe en boîte noire”. 

3 – Quel test d’intrusion réaliser :  

Les tests d’intrusion sont des mises en situation réelles et peuvent être effectués en différents modes : “ils peuvent être réalisés en boîtes noire, grise ou blanche, poursuit Cédric Cartau. En boîte noire, le consultant n’a aucune information sur le système qu’il tente de pénétrer et y va à l’aveuglette. En boîte grise, le consultant dispose d’une partie de l’information. Et en boîte blanche, on lui fournit toutes les informations possibles et il attaque le système en sachant ce qu’il va attaquer. Chaque mode a ses avantages et ses inconvénients et répond à un besoin précis.” Le choix du mode s’accorde au besoin de l’établissement, détaille le responsable RedTeam chez ITrust, Sébastien Neumann : “le mode opératoire dépend du niveau d’information préalable pour l’attaquant avant d’effectuer le test. En boîte noire, l’attaquant ne dispose d’aucune information préalable sur la cible. Il sait seulement qu’un système d’information existe. La question est alors de savoir quelle est la possibilité pour l’attaquant de compromettre la cible en cherchant justement les informations. Pour l’audit en boîte grise, nous imaginons que l’attaquant a le même niveau de connaissances qu’un stagiaire ou un médecin par exemple et nous testons la robustesse de la cybersécurité face à cette éventualité : l’attaquant pourra-t-il accéder à des informations confidentielles et même bloquer le réseau ? En mode boîte blanche, et c’est plus compliqué à aborder, nous considérons que l’attaquant dispose de toutes les informations et peut donc être l’administrateur, c’est-à-dire que nous avons affaire à une entité étatique. La force des tests en boîte blanche est qu’ils permettent d’accéder très facilement aux machines et donc de détecter des vulnérabilités qui ne seraient pas repérées dans un audit en boîte noire”. 

4 – Le choix du prestataire en fonction de l’établissement : 

Emmanuel Sohier, responsable de la cellule Accompagnement cybersécurité des structures de santé (ACSS), rappelle que les opérateurs d’importance vitale (une liste confidentielle de plus de 200 opérateurs publics ou privés et appartenant à 12 secteurs d’activité d’importance vitale) doivent faire appel aux prestataires d’audit de la sécurité des systèmes d’information (PASSI) qualifiés et référencés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) : “en premier lieu, une convention entre la structure et le prestataire est signée pour définir le périmètre, ce qu’il faut tester et dans quelles conditions car il ne faut pas que ce test ait un impact sur l’activité et la gestion du système. Les deux parties définissent l’engagement de chacun, dans un cadre organisationnel et technique clair, pour ne pas avoir de mauvaise surprise. Les tests sont ensuite déroulés et le prestataire rend à la fin un rapport qui présente les vulnérabilités les moins critiques et les plus critiques, ainsi que des recommandations. Et quand les vulnérabilités sont très critiques, une notification rapide est remontée pour les corriger. Un nouvel audit peut aussi être réalisé à l’issue du test d’intrusion”. Loïc Chabanier (EY) note que “les tests d’intrusion sont rarement faits sans analyse de risque où il a été identifié que tel outil présente des faiblesses ou des sensibilités et qu’il faut s’y intéresser” : “nous distinguons l’accord d’autorisation et l’accord de confidentialité. Ce dernier est par rapport aux failles identifiées et est lié à la communication des résultats des tests d’intrusion que nous nous engageons à ne pas divulguer”. 

5 – Le déroulement d’un test : 

Voici à quoi ressemble le test en pratique, d’après Sébastien Neumann : “Nous allons découvrir le réseau, quelles sont ses machines et nous essayons de trouver celles qui sont les plus vulnérables, les plus utilisées et les plus faciles à compromettre. Cela nous sert à avoir les premiers accès. Nous ne nous arrêtons pas là et nous essayons d’obtenir le plus de droits possibles pour compromettre d’autres machines afin de devenir administrateur, une sorte de DSI. Une fois ces droits obtenus, nous essayons de nous orienter plus vers les réseaux métiers pour arriver aux logiciels métiers : pour un hôpital, nous parlons ici des dossiers patients informatisés, par exemple. Nous tentons alors de montrer que nous pouvons empêcher les médecins d’y accéder”.   

6 – Le budget à prévoir :  

 Cyrille Barthélémy (Intrinsec) précise que le coût d’un test d’intrusion oscille entre 700 et 1200 € par jour. Le test d’intrusion durant en moyenne 10 jours  (allant de quelques jours à plusieurs mois selon le périmètre ciblé), le budget à prévoir peut être de 12 000 €. Mais la fourchette de prix dépend de plusieurs variables : taille des serveurs et des systèmes d’informations, la méthode adoptée, les périmètres définis… Certains tests demandent ainsi plus de temps que d’autres. Aurélie Grellier, responsable commerciale chez ITrust indique ainsi que les tests sur de grandes structures peuvent demander un budget de 50 000 à 60 000 €, mais cela reste “rare” : “si nous sommes appelés à tester dix applications dont deux en boîte blanche et les autres en boîte grise, le prix pourrait être de 30 000 €. On pourrait dire que le prix est de 900 € en moyenne par jour mais nous sommes parfois amenés à nous adapter aux contraintes budgétaires”. Quant à EY, le cabinet réalise régulièrement des tests dans les établissements de santé, nous informe Loïc Chabanier : “pour les tests externes, ils peuvent coûter de quelques milliers d’euros à 20 ou 30 k€ pour des évaluations plus larges. Les tests internes peuvent avoir des fourchettes très variées en fonction du périmètre”. 

Mais les organismes publics sont très sensibles au sujet et y contribuent, ajoute Loïc Chabanier : “L’ASIP Santé gère le portail de déclaration des incidents de sécurité, met en œuvre des tests d’intrusion et élabore et maintien la politique générale de sécurité des systèmes d’information de santé – PGSSIS”. “Depuis l’annonce du programme Hop’En, précise Aurélie Grellier, nous avons observé une augmentation du nombre d’hôpitaux qui nous sollicitent pour des tests d’intrusion. J’estimerais l’augmentation à 15 % approximativement. Il n’y a malheureusement pas assez de budget aujourd’hui et pas d’exigences particulières sur la sécurité hospitalière”. Or de plus en plus de la confidentialité de la donnée de santé et du risque pour l’image sont au centre des discussions, développe Loïc Chabanier : “De nombreux projets d’agrégation de données de santé sont lancés et le test d’intrusion est un moyen pour consolider la confiance en la sécurité de ces processus. Un autre élément est que de plus en plus d’établissements de santé, comme l’AP-HP, les CHU de Nantes et de Lille, créent des entrepôts de données cliniques auxquels peuvent s’appareiller des données de vie réelle et des données génomiques. Cette donnée structure recèle une valeur monétaire, d’où l’intérêt de la protéger de façon préventive”.  

Les audits de cybersurveillance made in Asip
À l’occasion du 5e colloque sur la cybersécurité en santé organisé par le ministère de la Santé le 3 octobre 2019, Jean-François Parguet, directeur Technique et sécurité de l’Agence des systèmes d’information partagés de santé (Asip santé), a dressé le bilan des audits de cybersurveillance menés par l’agence depuis fin 2018. En plus d’une veille permanente – “nous observons les fuites de données, nous effectuons de la recherche customisée dans le web profond, nous vérifions aussi les concours d’exploits de certains hackers, ainsi que les forums, soit une cinquantaine de sources différentes”, l’Asip analyse alors, à la demande d’un établissement, “les domaines annoncés” et effectue un “scan de vulnérabilité : cartographie logicielle, recherche des interfaces d’administrateurs, des défauts de configuration et des vulnérabilités dans le top 10 OWASP” “(classement d’une communauté en ligne travaillant sur la sécurité des applications web).  “Si nous n’avons pas beaucoup communiqué, ces audits connaissent un succès certain.” Au point de rencontrer “un problème de programmation et de planification”, une planification qui s’étale “sur plusieurs années”. Une hiérarchisation a donc été mise en place : les structures ayant signalé un incident sont prioritaires par exemple sur les établissements bénéficiaires du programme Hop’En, mais aussi les centres hospitalo-universitaires (CHU) “pour des raisons évidentes de taille” sur le reste des structures.  Sans préciser le nombre d’audits réalisés à ce jour, Jean-François Parguet a indiqué que 40 % ont permis de découvrir des serveurs à l’abandon ou non inventoriés. 70 % des structures auditées ne possédaient aucun mécanisme de protection implémenté et, dans 80 % des audits réalisés, une vulnérabilité issue du top 10 OWASP permettait de prendre le contrôle d’au moins un serveur ou d’accéder à des données confidentielles, dont des données de santé et/ou personnelles. Enfin, 50 % des structures auditées n’avaient jamais réalisé d’audit de sécurité.  Celui qui est aussi responsable de la sécurité des systèmes d’information (RSSI) a expliqué, “vu la masse”, que l’Asip santé avait fait le choix d’automatiser l’organisation des audits et l’exploitation des résultats : “l’ensemble de nos processus de recherche sur les scans alimente une base de donnée et un rapport est produit automatiquement, totalement structuré et lisible”. Mais, a-t-il souligné, “il faut être honnête : un produit automatisé n’a pas la même profondeur qu’un produit automatisé assorti d’un test d’intrusion”. 
Anne-Laure Mercier

 


Focus sur quatre prestataires de tests d’intrusion informatique – Accéder au tableau en cliquant ici

 

  • Cybersécurité
  • Données de santé
  • Données privées
  • Hôpital
  • Logiciel
  • messagerie sécurisée
  • Plateformes
  • Sécurité
  • Système d'information

Besoin d’informations complémentaires ?

Contactez Mind Research

le service d’études à la demande de mind

À lire

Un guide sur la cybersécurité des dispositifs médicaux en préparation

Un guide d’application pratique du RGPD pour les établissements de santé retardataires

Les cinq premières étapes pour assurer a minima la sécurité de son SIH
Découvrez nos contenus gratuitement et sans engagement pendant 15 jours J'en profite
  • Le groupe mind
  • Notre histoire
  • Notre équipe
  • Nos clients
  • Nous contacter
  • Nos services
  • mind Media
  • mind Fintech
  • mind Health
  • mind Rh
  • mind Retail
  • mind Research
  • Les clubs
  • mind et vous
  • Présentation
  • Nous contacter
  • Vous abonner
  • A savoir
  • Mentions légales
  • CGU
  • CGV
  • CGV publicité
  • Politique des cookies
Tous droits réservés - Frontline MEDIA 2025
  • Twitter
  • LinkedIn
  • Email