L’Active Directory et l’exposition Internet au programme du plan de sécurisation des hôpitaux

Le programme CaRe de renforcement de la cybersécurité des établissements de santé rentre dans le dur. L’agence du numérique en Santé vient en effet d’annoncer l'ouverture des deux premiers guichets d’aide, dotés d’environ 66 millions d’euros, de ce programme à 250 millions d’euros lancé en décembre dernier.

La quasi-totalité de cette enveloppe est dédiée à des audits autour de l’exposition Internet et à l’Active Directory, deux points cruciaux pour la sécurité informatique des établissements de santé. Comme le rappelle en effet l’agence du numérique en santé, l’expérience montre que “l’exposition non maîtrisée sur Internet est une porte d’entrée principale pour les attaquants”.

Les pirates utilisent généralement ensuite l’Active Directory “pour se propager dans le système”, ajoute-t-elle. Cet outil est utilisé pour répertorier l’ensemble des appareils d’une organisation et les administrer à distance suivant leurs droits. Ce qui en fait une véritable clef de voûte du système informatique

[#CYBERSECURITE] Plan CaRE : ouvertures des candidatures au 1e Appel à financement​

Lancé en décembre 2023, le programme CaRE est une initiative de financement pour la sécurité informatique des établissements de #santé.​

Candidatures jusqu'au 19/04 ​? https://t.co/pQYoxmovFQ pic.twitter.com/UynGhPMlXx

— Agence du Numérique en Santé (@esante_gouv_fr) March 20, 2024

Services de l'Anssi 

Pour renforcer leur sécurité informatique sur ces deux points, les établissements de santé sont ainsi invités, via un guide des prérequis et objectifs, à réaliser des audits ADS, un service de l’Anssi, le cyber-pompier de l’Etat, qui doit permettre de quantifier le niveau de sécurité de l’annuaire.

Les vulnérabilités liées à l’exposition Internet peuvent elles être mesurées avec Silene, un service de cartographie également mis en place par l’Anssi.

Les pouvoirs publics recommandent également de réaliser au moins un exercice de gestion de crise cyber par an, et de calculer son budget dédié à la sécurité informatique. En moyenne, 1,6% des dépenses sont fléchées vers le numérique - la part de la sécurité dans ce budget n’est pas précisée.

Secteur trop vulnérable 

Le second guichet d’aide ouvert concerne la sécurisation de l’accès aux services numériques sensibles, “un levier majeur de cybersécurité” selon l’agence du numérique en santé. Dénommé “HospiConnect”, il vise à simplifier l’accès sécurisé des professionnels en testant de nouveaux modes d’identification électroniques sécurisés.

En 2023, les établissements de santé représentaient 10% des 143 attaques par rançongiciel suivies par l’Anssi, une part stable. Dans son panorama de la menace, le cyber-pompier de l’Etat avait cité la santé comme l’un des deux secteurs, avec les collectivités, “encore trop vulnérables” aux pirates informatiques.

Plusieurs établissements de santé ont été victimes d’une attaque informatique l’an passée, de Brest à Rennes en passant par Bourg-en-Bresse. Si la dernière attaque notable, celle d’Armentières, s’est soldée par une méga fuite de données, le secteur n’a pas connu de crash total comme celui de Corbeil-Essonnes en août 2022. Obligé de remettre totalement à plat son système d’information, la crise avait coûté 7 millions d’euros au centre hospitalier, déstabilisé également en profondeur dans son travail.