Avec iKare, le CHU d’Amiens se dote d’une visibilité accrue sur les vulnérabilités
Le centre hospitalier utilise l’outil d’iTrust pour conduire ses propres audits de vulnérabilités sur son infrastructure. De quoi en améliorer la régularité et le périmètre.
Le centre hospitalier universitaire d’Amiens est, comme le reste du secteur médical, soumis à une exigeante réglementation en matière de protection des données personnelles. Julien Rousselle, qui en est le RSSI depuis 2004, soulignait, à l’occasion d’un séminaire Web à l’automne dernier, que celle-ci exige notamment la conduite régulière d’audits de vulnérabilité.
Mais voilà, s’ils répondent aux impératifs réglementaires, les audits réalisés une ou deux fois par an ne permettent pas de disposer « d’une visibilité au fil de l’eau ». Et c’est bien ce que recherchaient Julien Rousselle et ses équipes avec, en prime, un gain d’autonomie dans la réalisation des audits et dans le choix de leur périmètre. Pour le RSSI, la « visibilité en temps de tout ce qui peut être sujet à vulnérabilités » apparaît essentielle : souvent, les attaques réussies le sont aussi en raison de « vulnérabilités laissées sur les machines », non corrigées.
Une infrastructure auditée de l’intérieure comme de l’extérieur
La première force d’iKare s’est manifestée à ce stade : l’outil peut être téléchargé et essayé gratuitement sur 32 adresses IP. Si cela peut sembler peu, c’est toutefois suffisant pour mettre en place une première maquette. De quoi là apprécier une interface à la prise en main intuitive, selon le RSSI du CHU d’Amiens.
Après l’achat d’une licence, les équipes de Julien Rousselle ont donc pu mettre en place l’audit des serveurs du CHU – 400 machines, sur leurs adresses IP internes, mais également sur celles, publiques, exposées à l’extérieur. « La priorité va aux serveurs parce que c’est là que se trouvent les données médicales, les données sensibles ».
Mais ses efforts d’audit ne s’arrêtent pas là, parce « de plus en plus tout devient connecté en IP ». Et s’il ne s’agit d’auditer tout l’environnement, les équipes de la RSSI peuvent utiliser des échantillons d’un même matériel, l’auditer régulièrement, et, en cas en de vulnérabilité, entrer en contact avec son fournisseur.
Les couleurs d’un sapin de Noël
Si pour les démonstrations, tous les voyants peuvent avoir tendance à clignoter au vert, ce n’est pas le cas dans un environnement de production. Et comme le relève Julien Rousselle, « dès que l’on commence à auditer, on voit surtout tout ce qui ne vas pas ». Avec à la clé une question : par où commencer ? Et c’est probablement là que commence la partie la plus difficile du travail.
Certes, le niveau de criticité des vulnérabilités ou des équipements concernés peuvent aider à définir les priorités. Mais le plan d’action doit aussi être établi avec les référents métiers, applicatifs, serveurs ou encore équipements réseau, souligne le RSSI, insistant sur l’importance de l’organisation.
Et si des correctifs sont disponibles, encore faut-il commencer par les déployer dans un environnement de test, afin de les qualifier avant de pouvoir envisager une mise en production.
Julien Rousselle ne cache pas sa satisfaction vis-à-vis d’iKare : son achat a été immédiatement rentabilisé, grâce à un coût inférieur à celui d’un audit externe, et il dispose désormais d’une visibilité étendue sur son environnement.
Mais pas question, donc, d’y voir une solution push-button (comme d’aucuns diraient) miraculeuse : l’outil permet au RSSI de disposer de la cartographie nécessaire à la définition des priorités dans son plan d’action. Mais la distribution des correctifs n’a rien d’une étape triviale.