De l'EDR à la sécurisation de l'active directory au centre des préoccupations de cybersécurité des hôpitaux

Suggéré:

De l'EDR à la sécurisation de l'active directory au centre des préoccupations de cybersécurité des hôpitaux

De l'EDR à la sécurisation de l'active directory au centre des préoccupations de cybersécurité des hôpitaux

Des dizaines d’attaques par jour. Voilà à quoi sont confrontés les hôpitaux de France. Les intrusions dans le SI restent rares mais en décembre dernier, le GHT Sud Val d’Oise a été victime d’une attaque de ce genre. L’établissement a porté plainte auprès du Procureur de la République de Pontoise, même si l’impact a pu rester limité. Plus que jamais, un bon outillage s’avère nécessaire pour maintenir la prise en charge des patients.

Focus sur l'active directory et l'EDR

Selon le DSI du GHT, Thierry-Alain Kervella, les services ont à faire face à un réel paradoxe. « Il faut être tout à la fois schizophrène et paranoïaque. Car la tendance actuelle nous demande d’aller vers toujours plus de partage et d’ouverture des informations, tout en accentuant la sécurité. » Une gageure renforcée par les institutions. L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a renforcé les points de contrôle CERT-FR autour de l’annuaire Active Directory. Cet élément critique centralise la gestion des comptes, des ressources et des permissions et peut être une porte d’entrée pour une prise de contrôle. On lit sur le site de l’ANSSI que « l'analyse des modes opératoires des attaques récentes met en évidence une recrudescence du ciblage des annuaires Active Directory, compte tenu de leur rôle de pierre angulaire de la plupart des systèmes d'information. Par conséquent, le faible niveau de sécurité des annuaires met en danger les systèmes d'information dans leur globalité et fait porter un risque systémique aux organisations. Les observations de l'ANSSI font apparaître un manque de maturité critique et récurrent sur la sécurité des annuaires Active Directory. » Voilà pourquoi l’agence remet cet élément au centre des points de contrôle.

Autre point sensible, l’EDR (Endpoint Detection and Response). Antoine Guillot, RSSI au GHT Sud Val d’Oise le constate, « jusqu’ici les solutions EDR étaient peu répandues. Mais on voit que tous les établissements qui se font attaquer (Dax, Centre Hospitalier Sud Francilien, Versailles...) y passent. Cela commence à se déployer fortement ces derniers temps. » Voilà pourquoi, au GHT Sud Val d’Oise, il a été choisi de s’équiper d’une solution EDR. L’outil Endpoint Security Platform de SentinelOne protège les 6400 postes de travail et les 300 serveurs des 5 sites du GHT. Pour la structure, impossible de se contenter des solutions antivirus qui fonctionnent par signature de malwares. « Cette stratégie n’est valable qu’a posteriori, regrette le DSI. Elle demande des mises à jour permanentes. C’est comme une course à rebours. » L’analyse dynamique des comportements proposée par SentinelOne a donc séduit les équipes.

Reste la question du déploiement et de l’exploitation EDR « Le déploiement a été très simple, et s’est passé en une nuit, rappelle Antoine Guillot. Comme cette solution analyse en continu les comportements, nous redoutions d’avoir trop d’alertes en faux positif mais cela a pu être régulé très vite. Et côté exploitation, les mises à jour se font simplement, depuis la console centrale et sans nécessiter un redémarrage des postes. » Pour aller encore plus loin, le service est en cours de réflexion pour évoluer vers un SOC (Security Operations Center) managé. « SentinelOne pourra contribuer à faire remonter tous les signaux faibles sur la console, détaille Thierry-Alain Kervella. Pour cela, elle doit s’inclure dans l’ensemble des outils de sécurité. » L’établissement a acquis les licences nécessaires pour une telle configuration et pourra évoluer rapidement vers cette nouvelle stratégie. Conscient du manque de moyens et ressources dans les établissements de santé, la solution SentinelOne Singularity XDR est une plateforme unifiée et centralisée qui protège les endpoints, le cloud et l'identité. Elle est dotée d’une capacité d'évolution totale et constante, en permettant d’automatiser un ensemble d’actions de remédiations, d’où l’importance de faire un choix stratégique pour ne pas multiplier les consoles d’administrations. Même si plusieurs des établissements de santé sont équipés d’un EDR, il reste plusieurs sujets à traiter dont la sécurisation de l’Active Directory, sujet complexe qui reste le maillon faible et le serpent de mer des SI précise Rachida Majeri, Responsable Commerciale sur le secteur public, les comptes à privilèges véhiculent des données sensibles sur les patients. Suite au rachat l’an dernier d’Attivo Networks, notre solution Ranger AD est en mesure d’analyser et de vérifier la conformité aux bonnes pratiques de votre AD et de vous recommander sur les mesures à prendre pour corriger rapidement tout privilège excessif, de réduire votre surface d’attaques, de corriger les failles de sécurité et d’optimiser votre approche de sécurité à long terme. Le tout déployable si besoin en mode SAAS ou on-premise avec un minimum de ressources, Ranger AD ne nécessite qu’un seul Endpoint/agent disponible pour effectuer l’audit en continu et aucun accès a privilèges.

Marion BOIS