La sécurité impose des règles, certes contraignantes, mais qui évitent bien des tracas.
Voici la petite histoire d’un établissement de santé, qui a vu ses données confisquées le mois dernier.
La journée se présentait bien, du moins en apparence, pourtant c’est au cours d’une simple intervention de maintenance informatique que le fonctionnement erratique d’un serveur attire l’attention des techniciens en poste ce jour-là.
Un premier niveau d’investigation permet rapidement de révéler au grand jour, le problème ; Le serveur est victime d’un « Crypto-virus » encore nommé « Ransomware ».
Les informations stockées sur le serveur concerné sont les payes, la comptabilité ainsi que les stocks.
Ce qui impacte, vous vous en doutez, très lourdement le fonctionnement de l’établissement.
Des investigations poussées permettent de révéler que le périmètre de l’infection va bien au-delà de ces informations administratives.
Cette fois, un second serveur est identifié comme étant également impacté. Informations encore plus critiques que le précédemment, il s’agit à présent des données patients.
C’est sur, l’incident est majeur, et comme l’impose la législation, une déclaration d’incident grave a été faite auprès de l’Agence Régionale de Santé (ARS).
Pourtant l’établissement avait mis en place une Politique de Sécurité du Système d’Information (PSSI), ce qui aurait dû permettre de limiter ce type d’attaque. Alors pourquoi et comment cet incident majeur a-t-il pu avoir lieu ?
Rares sont les cas où la réponse est aussi simple, mais ici elle tient en 3 mots « Prise de conscience ».
Effectivement une PSSI avait bien été appliquée, mais puisque le système d’information fonctionnait correctement, les décideurs et utilisateurs appréhendaient le respect de cette politique de sécurité majoritairement comme des contraintes supplémentaires.
Progressivement de petites concessions ont été réalisés pour des raisons de facilité ; Concessions qui ne semblaient pas impacter la sécurité du SI, celui-ci continuant de fonctionner normalement.
Dans un même temps, certaines mesures, pourtant définies dans la PSSI, n’avaient pas été menées à leurs termes, certainement freinées par le phénomène psychologique courant : La résistance au changement.
Observés de manière isolée, ces « petits arrangements » semblaient anodins, mais comme cette histoire le révèle, une fois imbriquées les unes aux autres, toutes ces entraves à la PSSI ont mené à la pertes des données. Et quoi de pire que de penser être protégé alors que le problème émane directement de la-dite protection.
Le retour progressif à une situation normale
Le retour à un fonctionnement normal du SI a nécessité dans un premier temps de restaurer les serveurs physiques, puis dans un second temps de les virtualiser.
Cette intervention a entraîné une indisponibilité du SI pendant 48 heures. 48 heures pendant lesquelles l’établissement a dû mettre en application toutes ses procédures de continuité d’activité puis de reprise d’activité.
Enfin, les données des 24 heures dernières heures ont quant à elles été définitivement perdues.
Une sécurité accrue
Cette fois la prise de conscience est réelle.
La direction a renforcé la liste des actions à appliquer, avec par exemple :
- La suppression de postes « Sauvages » des praticiens au bloc opératoire sans contrôle et intégration à l’AD
- Le renforcement drastique de la politique de filtrage d’URL
- La signature obligatoire de la charte informatique et la remise de la PSSI à chaque salarié, ainsi qu’aux prestataires
- La remise au personnel d’un questionnaire sur le niveau de connaissance en termes de sécurité informatique, qui entraînera la mise en place d’une formation de sensibilisation à la sécurité informatique, inscrite au plan de formation des salariés
- Le contrôle de tous les accès externes au SI (IPs référencées, connues et autorisées), que ce soit pour les praticiens, les salariés, mais aussi tous les prestataires
- ….
Des audits de sécurité sont également en cours afin d’identifier toutes les failles de sécurité techniques, organisationnelles, et humaines qui ont mené à cette situation.
La direction s’assure également que chaque action est pleinement appliquée. Les concessions qui avaient été accordées ont été désavouées.
Le personnel applique désormais des règles bien plus strictes qu’auparavant.
Ces nouveaux changements sont davantage acceptés par la direction et le personnel du fait que chacun appréhende désormais de voir se reproduire une telle situation de crise.
Et vous ? Avez-vous déjà été confronté à une faille de sécurité importante de votre Système d’Information ?