Accueil INTERVIEW - Le CERT Santé, tour de contrôle du monde médico-social

INTERVIEW – Le CERT Santé, tour de contrôle du monde médico-social

© Thomas Breher de Pixabay
Sommaire du dossier

Dans ce contexte complexe et hostile auquel sont confrontés les établissements de santé, le CERT Santé joue un rôle de tour de contrôle pour accompagner et orienter les responsables informatiques. Son responsable, Emmanuel Sohier, sorte d’aiguilleur du ciel de la cybersécurité, explique à Solutions Cybersécurité le rôle de cette institution devenue indispensable.

 

« Une fois l’attaque stoppée,on essaie de retrouver les scénarios d’attaque pour identifier ce qui a été compromis et empêcher l’attaquant de s’introduire de nouveau dans le système d’information de l’établissement. »

Emmanuel Sohier,
responsable du CERT Santé

 

  • Quand a été créé le CERT Santé ?

Il a été créé sous l’impulsion de Philippe Loudenot, alors FSSI (Fonctionnaire de Sécurité des Systèmes d’Information) des ministères sociaux et a commencé son activité en octobre 2017. Nous sommes le premier CERT sectoriel en France. C’est très rare, même en Europe. Pour information, il y a des CERT internes comme à la Société générale, BNP, Airbus, etc., des CERT externes, Advens, Wavestone et les CERT institutionnels (CDCFR, Maritime et aéronautique).

  • Les services ont-ils tous été disponibles immédiatement ?

Non, la mise en place des services s’est faite progressivement. Le CERT Santé a été reconnu de façon officielle par la communauté des CERT (l’interCERT France) en janvier 2021. Pendant ce temps, il a développé son expérience de CERT, à mettre en place des services d’appui à la réponse aux incidents des établissements de santé. La réponse à incident, c’est accompagner des bénéficiaires, à savoir des établissements de santé publics et privés mais également depuis 2021 les établissements et services médico-sociaux (Ehpad, établissement pour personnes handicapées, etc.). Mais ceux qui font le plus appel à nous, à 80 %, ce sont les établissements de santé et essentiellement publics.

  • Quelles sont, aujourd’hui, les prérogatives du CERT Santé ?

A ses débuts, jusqu’à fin 2019 le CERT faisait principalement de l’accompagnement et de la diffusion de bonnes pratiques. Que faire à la survenue d’un incident ? Qu’est-ce que je débranche ? Que dois-je mettre à jour ? Quelles sont les mesures de confinement à mettre en place pour réduire l’action de l’attaquant ? A partir de 2019, nous avons constaté un vrai besoin d’accompagnement et d’investigation technique important, d’aide à la mise en œuvre de mesures de remédiation, de réponses à incident, de déploiement de mesures correctives, de renforcement du système d’information après une attaque pour que l’établissement soit plus résilient.

  • Qu’est-ce que cela implique ?

Tout cela nécessite une expertise particulière que les établissements n’ont pas les moyens de développer en interne. Dans un premier temps, nous les accompagnons en les aidant à qualifier leurs incidents, à identifier les menaces auxquelles ils font face, identifier le périmètre des serveurs compromis et à confiner. Être le plus réactif dans la qualification de l’incident et surtout dans le confinement des systèmes d’information qui sont compromis et arriver à stopper le plus rapidement possible la propagation de l’attaquant au sein du SI. Ce sont ces actions importantes que nous menons lorsque nous sommes sollicités. La phase suivante de la réponse à incident, c’est l’investigation. Une fois l’attaque stoppée, on essaie de retrouver les scénarios d’attaque pour identifier ce qui a été compromis et empêcher l’attaquant de s’introduire de nouveau dans le système d’information de l’établissement. Nous faisons également de l’audit à la demande quant à l’exposition sur Internet et du test de vulnérabilité.

  • Faut-il des conditions ou prérequis pour bénéficier de tout cela ?

Oui, il faut que l’établissement ait des capacités minimum de détection et des personnes qui gèrent ces alertes pour nous les remonter et faire appel à nos services, qualifier l’alerte et les évènements de sécurité suspectés et mettre en œuvre les mesures de remédiation adaptées. Il se trouve que parfois, malheureusement, l’attaquant a déjà réussi à s’introduire, à élever ses privilèges, compromettre un contrôleur de domaine puis déployer son rançongiciel sur tout ou partie du système d’information.

> Le CERT Santé est un service de réponse à incident 24h/24 et 7j/7, pour les bénéficiaires qui sont confrontés à un incident majeur.

  • Sont-ils tous équipés et quand intervenez-vous ?

Nous sensibilisons nos bénéficiaires à cela, mais ils font comme ils peuvent. Quand nous sommes sollicités et qu’une grande partie du SI a déjà été chiffrée, les étapes de confinement ou d’investigation sont moins nécessaires, puisque ce qui sera primordial sera de réussir à reconstruire rapidement un SI intègre avec les services critiques, les serveurs qui vont supporter les applications critiques de l’établissement. Et pour répondre de façon efficace il faut intervenir sur site, ce que nous ne faisons pas. Là, c’est l’ANSSI qui peut intervenir puisqu’elle a comme bénéficiaires les OSE (Opérateurs de Services Essentiels) du secteur de la santé (CHU et les établissements supports de GHT). Pour rappel, les GHT sont des hôpitaux qui se regroupent avec un hôpital dit établissement support et des établissements géographiquement proches. L’établissement support doit assurer une gouvernance des SI du GHT y compris au niveau de la cybersécurité. Récemment, ce sont donc 2 établissements supports de GHT qui ont été touchés avec Corbeil-Essonnes et Versailles.

 

« Pour répondre de façon efficace il faut intervenir sur site, ce que nous ne faisons pas. Là, c’est l’ANSSI qui peut intervenir puisqu’elle a comme bénéficiaires les OSE (Opérateurs de Services Essentiels) du secteur de la santé. »

 

Le CERT Santé en chiffres

  • Une équipe composée d’une dizaine de personnes
  • 592 déclarations d’incidents dont 300 d’origine malveillante
  • 100 ayant mobilisé un appui technique du CERT Santé
  • 27 liées à une attaque par rançongiciel en 2022 contre 59 en 2021