Le service cybersurveillance de l'ANS réalise des audits externes de cybersécurité des établissements de santé à distance, à leur demande, a-t-il expliqué.

Depuis sa création il y a 18 mois, il a audité "une soixantaine de structures, en particulier des groupements hospitaliers de territoire" (GHT).

Il est doté d'une plateforme qui permet de réaliser automatiquement ces audits. A la différence des audits réalisés par des sociétés privées, l'analyse "se concentre sur les applications médicales", a souligné Cédric Bertrand.

Elle utilise notamment les signalements d'incidents à la cellule d'accompagnement cybersécurité des structures de santé (ACSS) de l'ANS.

Depuis le 1er octobre 2017, les structures de santé sont tenues de relayer aux agences régionales de santé (ARS) les incidents de sécurité informatique jugés "graves" et "significatifs", et l'ANS est chargée d'apporter un appui au traitement des incidents au travers de la cellule ACSS, rappelle-t-on.

Concrètement, la plateforme du service cybersurveillance analyse les sous-domaines de l'établissement afin de détecter d'éventuelles failles de sécurité, notamment des accès ou des données non protégées.

Les sous-domaines sont des extensions qui précèdent le nom de domaine principal, qui permettent d'accéder à des sections du site web ou des applications. Par exemple, dans l'adresse "etablissements.fhf.fr", "etablissements" est un sous-domaine du domaine du "fhf.fr".

Les structures auditées possédaient en moyenne 103 domaines. "Cela peut paraître énorme, mais c'est dû au fait que nous auditons principalement des GHT qui se composent d'un CHU et de plusieurs petits CH qui ont chacun leurs domaines", a expliqué Cédric Bertrand.

"Certains grands CHU ont jusqu'à 400 ou 500 domaines", qui représentent autant de portes d'entrée potentielles pour un attaquant, a-t-il ajouté.

Outre le risque de divulgation d'informations, les autres vulnérabilités les plus répandues concernent l'implémentation de la cryptographie (23%), la gestion des correctifs (18%), la gestion de la configuration logicielle (11%) et le défaut de contrôle d'accès (10%).

En moyenne, 27 vulnérabilités par structure auditée ont été repérées. Parmi celles-ci, 8 étaient qualifiées de "fortes", 12 de "moyennes" et 7 de "faibles" par l'ANS.

Les vulnérabilités les plus graves détectées sont: un système d'exploitation qui n'est pas à jour (37% des cas), la possibilité d'attaque par force brute ou dictionnaire sur les mots de passe (37%), la présence d'un composant obsolète (37%), des injections de code possibles au sein d'une application (21%) et des serveurs de développement accessibles (21%).

Ces deux dernières sont le plus souvent dues à de "mauvaises pratiques de développement", a indiqué Cédric Bertrand.

Dans 80% des établissements, une vulnérabilité répandue "permettait de prendre le contrôle d'au moins un serveur ou d'accéder à des données confidentielles".

De plus, 35% des vulnérabilités les plus critiques ont été repérées sur des systèmes d'information (SI) infogérés, c'est-à-dire gérés par des prestataires assurant le fonctionnement du logiciel et du serveur associé.

Dans les petites structures, qui possèdent moins de 10 domaines, les vulnérabilités les plus graves détectées sont la présence d'un composant obsolète (60%), un système d'exploitation qui n'est pas à jour (20%) et des serveurs de développement accessibles (20%).

Dans les grandes structures, il s'agit de la possibilité d'attaque par force brute ou dictionnaire sur les mots de passe (50%) et d'un système d'exploitation qui n'est pas à jour (53%).

Viennent ensuite les injections de code possibles au sein d'applications (29%), la présence d'un composant obsolète (29%) et un système d'exploitation obsolète (21%).

Victime d'une cyberattaque en octobre 2019, le centre hospitalier de La Bassée (CHLB), qui a fonctionné en mode dégradé pendant plusieurs semaines, utilisait plusieurs machines utilisant un système d'exploitation obsolète, note-t-on.

Par ailleurs, 50% des structures auditées n'avaient jamais réalisé d'audit de sécurité et 40% n'avaient aucun mécanisme de protection en place, a déploré Cédric Bertrand.

Dans 40% des établissements, des serveurs à l'abandon ou non répertoriés ont été découverts, "parce que le poste du responsable de la sécurité des systèmes d'information [RSSI] vient d'être créé, ou qu'ils ont été créés sans prévenir la direction des systèmes d'information [DSI] ou le RSSI", a-t-il ajouté.

Une "interface de commande d'audits" va être mise en place début 2021, afin de permettre aux RSSI, "en particulier de GHT", de demander et d'obtenir plus rapidement des audits sur les périmètres et aux dates qu'ils auront définis, a fait savoir Cédric Bertrand. Une "restitution automatisée" sera envoyée aux établissements.

lc/gdl/nc