"MAÎTRISEZ VOTRE SYSTÈME D'INFORMATION"

Attaques informatiques, anatomie d’une catastrophe annoncée

Strip securite informatique sih

 

Pas une semaine ne se passe, si ce n’est même une journée, sans qu’une nouvelle attaque informatique massive ne soit révélée. Et pour cause, il semble bien que les hackers aient intégré à leurs démarches, moralement contestables, un modèle économique terriblement viable.

Mais avant de parler du modèle économique, pour ne pas dire du BusinessPlan, il est intéressant de retracer le déroulement des opérations au cours des derniers mois, à travers un certain nombre d’étapes cruciales qui nous permettront de mieux comprendre comment nous en sommes arrivés à ce point et ce qui nous attend à court et moyen terme.

 

Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire.
Albert Einstein

 

Une base solide qui, hélas, a fait ses preuves

Nous avons constaté, depuis quelques années, une recrudescence des attaques par « Ransomware ». « Locky » , « Petya », « Jigsaw » ou bien encore « CTB-Locker » ou plus récemment « WannaCry » pour n’en citer que quelques-uns. Nous attirons régulièrement l’attention des DSI sur l’explosion de ce type d’attaque par l’intermédiaire de plusieurs documents et différents médias.

Ce faisant, les virus devenaient alors une manne financière considérable, relativement simple à exploiter pour qui veut nuire et s’enrichir sans recourir à des techniques de Hacking complexes. En s’appuyant sur la monnaie virtuelle, technologie qui dans le même laps de temps a rencontré un franc succès à travers la planète pour des raisons beaucoup plus louables et légales, les transactions et donc le paiement des rançons devenaient intraçables. Ce qui, avouons-le, aurait facilité la tâche à n’importe quel rançonneur si un tel service avait existé plus tôt.

 

Pour rappel, si cela est encore utile, un ransomware est un virus qui rend inaccessible et totalement inutilisable l’ensemble des données présentes sur les machines infectées, puis, si possible, le réseau tout entier, par un système de cryptage des données, tant qu’une rançon n’est pas versée. Et quand bien même la rançon est payée par la victime, encore faut-il que l’assaillant respecte son engagement. Rien n’est moins sur, au vue des activités illégales, de ladite personne.

Davantage de précisions sont disponibles dans notre article « Ransomware ».

 

A cette étape nous avons déjà les 2 premiers ingrédients d’une recette détonante. Soit des logiciels de cryptographie (ransomware) extrêmement performants, nombreux et suffisamment rapides et puissants pour ne laisser que très peu de chance à la victime. Mais aussi un système de paiement anonyme permettant aux hackers de se faire payer en toute sécurité.

Les bases sont désormais posées …

 

D’anciens OS non maintenus largement attaqués

Pendant ce temps, le cycle de vie de plusieurs systèmes d’exploitation arrive à terme en passant par différentes phases avant de ne plus être maintenu du tout. Ce que cela signifie est que progressivement plus personne n’apporte de correctifs de sécurité à ces systèmes jusqu’à leur abandon pur et simple.

Et c’est là notre 3eme ingrédient. Ces systèmes sont massivement implantés dans tout type d’établissement, de tout secteur d’activité. Et paradoxalement, plus les établissements sont grands et donc potentiellement « riches » plus la migration vers un nouveau système est complexe, et ce pour différentes raisons, telles que la dimension du parc à migrer, la capacité financière à absorber les coûts, les surcoûts engendrés, …

Autant de raisons qui freinent la migration vers des systèmes plus modernes et donc en théorie mieux sécurisés.

La belle aubaine pour un rançonneur …

 

Comment expliquer que les OS récents et parfaitement maintenus soient également victimes ?

C’est wikileaks qui nous a livré la réponse courant Mai, en effet, les agences de sécurités imposent aux fournisseurs de systèmes d’exploitation de fournir leurs codes sources, pour des raisons de sécurité.

Et c’est ainsi, que la NSA s’est retrouvée en capacité de lire le code source des OS les plus récents.

Tout naturellement, des failles de sécurité ont été identifiées dans ces OS. Puis, en toute logique, des outils d’exploitation de ces failles ont été développés en interne « pour nous protéger » . Malheureusement, il semble que personne n’ait pensé à prévenir les éditeurs de failles de sécurité béantes. Certainement la culture du secret …. ou la volonté de les utiliser.

Et ce qui devait arriver, arriva. La NSA, organe de sécurité américain, s’est fait à son tour pirater … et oui ça arrive à tout le monde, même aux meilleurs.

Sauf que là, ça va faire très mal, le groupe de hacker qui a réussi cet exploit se nomme les « Shadow Brokers » et bien sûr ils ont fait main basse sur les outils de cyberguerre de la NSA.

C’est la notre 4eme ingrédient, n’est-il pas savoureux ? Les outils de cyber-défense nommés par exemple « Eternalblue » et « DoublePulsar » sont devenus des outils de cyber-attaque utilisés contre tous les établissements, les entreprises, les particuliers, …

Personne n’est vraiment capable de dire avec précision l’étendue des outils dérobés mais la capacité de nuisance n’a jamais été aussi grande comme le révèle l’article du journal lemonde.fr.

Les éditeurs colmatent tant bien que mal les failles au fur-et-à-mesure que les attaques sont révélées, mais à chaque fois les victimes payent les pots cassés. Et ces victimes sont principalement les institutions et les professionnels pour des raisons évidentes, un établissement de santé ne peut se passer de ses données patient.

Les éditeurs se retrouvent même à devoir retravailler sur des systèmes dont le support avait pourtant été abandonné, comme ilpar exemple ce guide pour les anciennes plateformes publié le 13 Juin 2017 par Microsoft.

Désormais, ces outils sont régulièrement mis en vente par les « Shadow Brokers » qui proposent même un abonnement à leurs outils pour 24 000 Dollars US par mois, pour le compte d’autres groupes de hacker qui n’ont plus qu’à décliner les attaques avec comme seule limite, leur imagination.

C’est ainsi que nous voyons arriver, non plus des virus mais des franchises de virus.

C’est à dire ? Un groupe de hacker a développé un « ransonware » non seulement puissant mais qu’il distribue gratuitement à qui veut l’utiliser. Celui-ci fonctionne sur un système de commission à la rançon. Pour chaque rançon versée aux pirates qui utilisent ce « malware », les créateurs du-dit virus perçoivent une commission.

 

Une recette à 4 ingrédients

Les hackers ont désormais, entre leurs mains :

  1. Des logiciels de cryptographie performants
  2.  Des moyens de paiement anonymes
  3. Des outils de pénétration professionnels et inédits
  4. De multiples modèles économiques ultra-rentables

 

Les victimes se comptent par millions et dans tous les secteurs d’activité :

Le 1er juin, la firme « Check Point » révélait l’existence d’un virus nommé « FireBall » présent sur 250 Millions d’ordinateurs.

Dans le secteur de la santé, de nombreux hôpitaux et cliniques privées ont déjà été contraints de payer des rançons. Dans le sud de la Californie, le Hollywood Presbyterian Medical Center, s’était vu réclamer 3,6 millions de dollars US.

Plus récemment, theguardian.com à révélé le cas d’une clinique de chirurgie esthétique s’est vue quand à elle, réclamer 600 000€, contre la non-divulgations des photos des opérations des patients.

Selon Trend Micro, Le 14 Juin une société de Corée du Sud aurait également payé la sommes d’un 1 Million d’€ suite à une attaque en date du 10 juin 2017.

Et bien sur, la très grande majorité des attaques ne sont jamais révélées pour ne pas entacher l’image des établissements contaminés.

Bien que pouvant sembler parfaitement abouties, et extrêmement efficaces les attaques auxquelles nous devons faire face ne sont que les prémices d’une catastrophe désormais annoncée.

 

Comment faire face à cette menace ?

Tenter de répondre par des actions de sécurisation compartimentées ne se révèle plus d’aucune utilité, et ce qui nous attend, dans un avenir trop proche, risque de se révéler bien pire encore.

Face à une menace si bien orchestrée, pour être pertinente la réponse doit être globale et s’appuyer notamment sur la transversalité des services. Dans la section suivante, nous vous présentons l’ensemble des solutions, qui une fois toutes imbriquées, nous permettrons de maintenir à flot les SIH, même en pleine tempête.

sécuriser sih pssi

Sécuriser les SIH en 2018.

Selon l’agence de cybersécurité Websense, les intrusions dans les systèmes informatiques des établissements de santé ont augmentées de 600 %. Face à une telle inflation, les établissements Français peuvent toutefois compter sur l’organe national de la cybersécurité rattaché au secrétaire général de la défense et de la sécurité nationale, l’ANSSI.

Considéré comme priorité nationale, l’Autorité Nationale de Sécurité des Systèmes d’Informations, a pour rôle essentiel d’appréhender la cybersécurité au niveau national et d’édicter les approches et méthodologies de cyberdéfense qui permettront aux entreprises et établissements de résister aux assauts répétés des pirates informatiques.

GPLExpert applique scrupuleusement les recommandations de l’ANSSI à chaque étape de la sécurisation des SIH. En parallèle, GPLExpert est également membre de l’Association pour la Promotion de la Sécurité des Systèmes d’Information de Santé (APSSIS), qui rassemble les professionnels actifs de la sécurité des systèmes d’informations de santé.

 

Une réponse globale : Le Plan d’Actions Sécurité des Systèmes d’Informations

La réponse qui vise à augmenter de manière considérable la sécurité des systèmes d’informations, se nomme le Plan d’Actions Sécurité des Systèmes d’Informations (PSSI).

Le PSSI se veut être le fil conducteur visant à définir une stratégie de gouvernance de la sécurité informatique au cœur des SIH.
Celui-ci porte sur un ensemble d’actions prioritaires qui apportent un gain important en terme de sécurisation des SIH, en complément des obligations de sécurité mises en place par les établissements de santé.

La mise en œuvre de ce Plan d’Actions est, notamment, encadrée par les Agences Régionales de Santé (ARS) qui, à la fois, sensibilisent les établissements à l’importance des enjeux de sécurité des systèmes d’informations et diffusent le Plan d’Action SSI tout en s’assurant de la bonne intégration de celui-ci.

Le Secrétariat général des ministères chargés des affaires sociales (SG), le Service spécialisé du haut fonctionnaire de défense et de sécurité (HFDS) ainsi que la Direction général de l’offre de soins (DGOS) s’assurent également, chaque trimestre, du bon déroulement des actions entreprises, ainsi que des résultats obtenus.

En effet, le Ministère de la Santé sollicite la participation pro-active des ARS afin de réaliser non seulement un état des lieux des établissements et services de santé présents dans leur région, mais également une remontée d’informations trimestrielles afin de permettre aux différents ministères et services impliqués d’apporter un meilleur accompagnement.

 

Le PSSI : Une question de planification

Le plan d’actions se présente sous la forme d’un calendrier dont la répartition des mesures est classifiée par niveau de priorité. Les échéances transmises par les différentes instances impliquées ont débuté en février 2017 :

Mesure de n°1 : A mettre en place dans les 6 mois (échéance 01/08/2017)

Quelques exemples de mesures à mettre en place dans les 6 mois :

  • Réalisation et tenue à jour d’une cartographie / d’un inventaire des ressources informatiques sous la responsabilité de la structure (postes de travail, serveurs, équipements actifs, équipements biomédicaux…) s’appuyant sur un outillage adapté
  • Équipement de tous les postes de travail par un antivirus, les postes nomades étant équipés d’un pare-feu local
  • Mise en œuvre de sauvegardes régulièrement testées
  • Mise en place d’une charte utilisateur
  • Sécurisation des comptes par mots de passe robustes et renouvelés
  • Prise en compte de la sécurité des SI par la direction, RSSI interne ou externalisé

 

Mesure de n°2 : A mettre en place dans les 12 mois (échéance 31/12/2017)

Quelques exemples de mesures à mettre en place dans les 12 mois :

  • Établissement d’une procédure formelle d’appréciation du risque avant toute mise en production d’un SI (homologation)
  • Identification des actions de formation SSI et inscription d’au moins une action de sensibilisation à la SSI dans le plan de formation annuel des personnels de la structure
  • Mise en œuvre de sauvegardes régulièrement testées
  • Versions maintenues des systèmes d’exploitations
  • Gestion des comptes utilisateurs selon le principe du moindre privilège
  • Sécurisation des réseaux et des points d’accès

 

Mesure de n°3 : A mettre en place dans les 18 mois (échéance 30/06/2018)

Quelques exemples de mesures à mettre en place dans les 18 mois :

  • Encadrement contractuel de tous les accès par des prestataires au réseau de la structure et vérification des clauses de réversibilité
  • Engagement de la direction sur la réduction d’un nombre limité de risques chaque année
    Mise en œuvre de sauvegardes régulièrement testées
  • Cloisonnement du réseau par grandes familles d’usage
  • Définition des modalités d’enregistrement et d’analyse des traces d’accès

 

Le PSSI : Une question organisationnelle de A à Z

Afin de rendre le PSSI pleinement opérationnel, nos ingénieurs accompagnent les établissements de santé dans toutes les étapes du processus de sécurisation :

  1. Audit technique, fonctionnel et organisationnel de votre SIH
  2. Mise en place du calendrier en fonction du niveau de priorité des mesures et de la maturité de votre SIH
  3. Mise en œuvre du plan d’actions avec vos équipes
  4. Accompagnement au changement

 

Les nouvelles mesures ne relèvent pas seulement d’aspects techniques, mais également d’organisation interne et de la mise en place de bonnes pratiques au sein de l’établissement.

En effet, chacune des mesures à mettre en place doit être intégrée aux processus de fonctionnement de la structure avec un contrôle régulier de leur mise en place et un engagement sur les résultats de la part de la direction.

 

Le déploiement du Security Operation Center (SOC)

Afin de réduire les risques, le SOC est un dispositif humain et technique, qui comprend entre autres la supervision et l’administration, avec pour principal objectif l’anticipation et la détection des incidents du SI. Le SOC définit également les procédures correctives à suivre en fonction de chaque situation avec pour principal objectif de réduire les temps d’indisponibilité du SI à sa plus simple expression.
Dans ce cadre, GPLExpert propose d’assurer l’intégration d’un Soc au sein des établissements de santé, et de le maintenir à son plus haut niveau fonctionnel tout au long de l’année.

Pour atteindre un tel résultat, nos équipes SOC composées d’experts en sécurité des SI aux compétences transversales et de ressources polyvalentes interviennent autour de 5 pôles de sécurité :

Identification des vulnérabilités :
Une analyse approfondie du fonctionnement et de la structure du SI permet de mettre en exergue d’éventuelles faiblesses ou un ensemble de points qui s’ils ne sont pas corrigés pourraient favoriser l’accès à des données pourtant théoriquement sécurisées.

Les tests d’intrusions sur l’ensemble de l’infrastructure :
Les tests d’intrusions menés aléatoirement sur l’ensemble du SI sont réalisés afin d’évaluer la robustesse de l’infrastructure face aux menaces externes et internes.

L’analyse des journaux d’événements et l’analyse des menaces remontées :
Cette surveillance accrue des journaux système du SI permet d’identifier les événements qui se sont déroulés ou qui sont en cours, et surtout d’identifier les tentatives et les attaques informatiques afin de d’évaluer le niveau de la menace et de réagir dans les meilleurs délais.

Correction des problèmes de sécurité :
La mise en œuvre des actions correctives à tous les niveaux du SI (structure, organisationnel, malterie, logiciel, …) permet de fermer les interstices numériques dans les lesquelles les assaillants auraient tentés de s’immiscer.

Reporting sécurité :
Dernières étapes de SOC , le reporting permet d’informer l’ensemble des personnes concernés jusqu’au plus haut niveau de la direction de l’ensemble des événements qui se sont déroulés. Par exemple la réalisation d’un audit de sécurité, les failles identifiés, les actions correctives les attaques, la capacité de l’infrastructure à résister …
Ce faisant, les risques sont réduits et anticipés, le taux de disponibilité du SI se voit grandement amélioré, les durées et délais d’interventions réduits et l’administration simplifiée.

 

Attaques informatiques anatomie d’une catastrophe évitable :

Bien que les menaces informatiques soient à leurs plus haut niveaux jamais atteint, que les hackers s’organisent techniquement et financièrement, les établissements de santé ne sont pas pour autant sans ressources pour parer les attaques.

La clé de la sécurité du SI est avant tout la sensibilisation du personnel et la prise en compte des menaces lors de toutes prises de décisions pouvant être en lien direct ou indirect avec le SI.

En un mot seul l’anticipation, permet aux établissements de santé de transformer une catastrophe informatique annoncée en une catastrophe informatique évitée.