Le GHU Paris affine la sécurisation de son SI suite à la crise sanitaire
La pandémie a sérieusement affecté les pratiques, notamment en matière de télétravail, mais aussi conforté le groupement hospitalier dans sa mise en oeuvre d’une politique zero trust.
Face à la crise de la Covid-19, le GHU Paris (Groupe hospitalier universitaire Paris Psychiatrie & neurosciences) s’est retrouvé, comme d’autres organisations et plus spécialement les hôpitaux, à devoir très rapidement gérer deux phénomènes liés au télétravail : fournir des moyens d'accès à un nombre plus élevé de collaborateurs travaillant simultanément chez eux et faire face à l’augmentation des attaques informatiques visant les hôpitaux.
« Cisco, Systancia et d’autres partenaires ont proposé de nous accompagner. Cisco nous a offert gratuitement des licences VPN durant la crise et nous a prodigué des conseils techniques pour optimiser la configuration de sorte à améliorer le débit », explique Amré Abou Ali, Responsable sécurité des systèmes d’information du GHU Paris. Par exemple, il était inutile de faire passer les flux vidéo de visioconférences (assurées par Microsoft Teams) par les VPN puis de les faire ressortir.
Des accès sécurisés, mais simplifiés
Mais dans l’urgence, le GHU n’avait pas suffisamment de temps pour sensibiliser l’ensemble des collaborateurs sur les accès et s’assurer qu’ils comprennent l’outil qu’ils auraient en main. En effet, dans le GHU, les profils sont extrêmement variés en termes de connaissances informatiques. Or différentes catégories d’utilisateurs devaient être en télétravail. Certains, ceux qui avaient d’ores déjà la possibilité de travailler depuis leurs domiciles, étaient sensibilisés, et le problème a été résolu par le nombre de licences VPN, le GHU Paris étant déjà client de Cisco Anyconnect.
Les moins calés en informatique ont eu un accès via à une interface web grâce à une autre solution, Systancia Gate, fournie gratuitement durant la crise. Un éditeur que connaissait le GHU, puisque client de leur solution de virtualisation de postes de travail. Plus simple d’usage, intégrant les éléments d’authentification ainsi qu’une analyse des postes, l’utilisateur n’a alors accès qu’à une seule application, selon son profil. Mais cette solution était suffisante pour un professionnel de santé organisant les plannings depuis chez lui, par exemple.
« Cisco propose ISE (Identity Services Engine) pour effectuer l’analyse des postes (device posture). ISE est très puissant, offre beaucoup d’autres fonctionnalités, mais nécessite un déploiement lourd, compliqué à mettre en place pendant la pandémie », justifie Amré Abou Ali. Plus légère, s’appuyant sur le cloud, Systancia Gate a été installée en un week-end. Elle était de fait employée par les collaborateurs devant se servir de leur PC personnel. Car le GHU n’avait ni les moyens ni le temps - les difficultés d’approvisionnement en portables sont apparues assez vite - d’attribuer un ordinateur professionnel à tout le monde.
Sur le front des attaques, le GHU a constaté une augmentation sensible des offensives, essentiellement des tentatives de phishing comportant des liens incitant à aller sur un site malveillant, avec des expéditeurs se faisant passer pour Santé Publique France par exemple. Mais les autorités ont été réactives et les sites dangereux bloqués très rapidement.
Tirer les enseignements de la crise
Et maintenant ? Le GHU ne dispose plus des licences VPN gratuites de Cisco ni de Systancia Gate. Il se trouve qu’avant la crise, le GHU travaillait déjà à un vaste chantier de sécurisation de son SI avec une approche « zero-trust ». « Paradoxalement, la crise a amplifié le besoin de notre démarche zero-trust en matière de sécurité, mais a ralenti le projet, car les prestataires n’étaient pas tous disponibles », constate Amré Abou Ali.
Le groupe hospitalier compte maintenant capitaliser sur cette expérience et veut s’inscrire dans la durée. Il s’agit de solidifier sa capacité à prendre en charge des connexions VPN, quel que soit le contexte, avec des solutions Cisco et d’autres, car il n’aura jamais suffisamment de portables professionnels et certains continueront d’utiliser leur ordinateur personnel.
Pendant cette période, le GHU a testé d’autres solutions, notamment Cisco Umbrella qui permet de faire de bloquer les attaques en amont avec un filtrage au niveau du DNS. Des équipementiers sont venus proposer leurs solutions, mais elles nécessitaient souvent un investissement matériel conséquent. Le GHU Paris est actuellement dans une phase d’évaluation avec ses prestataires, sachant que ses acquisitions passent systématiquement par la CAIH (Centrale d’achat de l’informatique hospitalière), établissement public oblige.
Les contraintes d’un OSE
En outre, le GHU est un OSE (Opérateur de services essentiels) ce qui implique un certain nombre de règles, fixées par un arrêté du 14 septembre 2018, qui définit un référentiel à respecter. En cas d’incident ou de changement du système d’informations par exemple, le GHU doit le déclarer à l’Anssi. S’ajoute à cela une réglementation spécifique aux établissements de santé.
De manière plus générale, la sécurité périmétrique ne permet pas de remplir les exigences des OSE, ce qui justifie une politique zéro trust. « La crise a permis la prise de conscience que la sécurité est l’affaire de tous et qu’il ne pouvait y avoir d’exceptions pour personne », conclut Amré Abou Ali.