Restitution conférence cybersécurité (Semaine européenne de la e-santé)

J'ai eu l'occasion la semaine dernière d'assister à des conférences sur la cybersécurité au couvent des jacobins à Rennes (https://esante.gouv.fr/la-semaine-europeenne-de-la-e-sante), organisé par l'ANS (Agence du numérique en santé) . Je restitue mes quelques notes (sans mise en forme) car je pense que cela peut intéresser.

Introduction par le Cert Santé

• Le Cert Santé https://esante.gouv.fr/produits-services/cert-sante est un service proposé par l'ANSSI https://www.ssi.gouv.fr/ d'aide au réponse aux cyberattaque disponibles 24/7. Ils peuvent assister à un établissement dans les premiers jours avant de passer le relais à des prestataires. (20 interventions réalisées, 76 cas de compromission, 2200 alerte envoyées)
• Les PRIS sont des prestataires certifiés par l'ANSSI capable d'aider les établissements dans la gestion de la cyberattaque

Différents types de menace :

• - Cybercriminels (motivation : argent)
• - Stratégique (états, espionnage)
• - Isolée (activistes, ancien employés)

Cause principales de faiblesse de système des établissements de santé

• Exposition sur internet non maîtrisée (serveurs ouverts alors qu'il ne devrait pas l'être)
• Vulnérabilité de l'annuaire des utilisateurs (active directory)
• Sauvegardes insuffisantes ou insuffisamment sécurisée
• Défaut de supervision ( pas de surveillance du système)
• Méthode d'authentification faible.
• Correctifs de sécurité non installés (le plus évitable)

Il y a une bonne maturité de cyberdéfense dans les établissements de santé

Le ministère de la Santé lance le programme CaRE qui mobilise tous les acteurs. Le programme CaRE est un plan massif pluriannuel 2023-2025 avec une volonté d'engager une grande majorité des établissements de santé pour obtenir des résultats concrets dès maintenant pour la résilience informatique des établissements, avec des financements ponctuels, annuels, et une offre de service.

La directive NIS 2 va améliorer la réglementation Cyber au niveau européen https://www.ssi.gouv.fr/directive-nis-2-ce-qui-va-changer-pour-les-entreprises-et-ladministration-francaises/

Retour d'expérience sur la cyberattaque du CHU de Brest

Toute attaque amène une phase de sidération, ce moment où on a un doute sur la gravité de l'attaque et sur l'action de confiner ou non. Cette phase doit être la plus courte possible.

détection et confinement

Phase de sidération : signaler, communiquer, rassembler les acteurs et déclencher une cellule de crise

risques : trop de retard, mauvais processus d'escalade. il est important d'avoir un annuaire des interlocuteurs de crise et de faire un kick-off avec l'ensemble des parties prenantes.

Confinement (couper le réseau) : isoler les ressources, neutraliser la menace, protéger le système d'information, mettre en œuvre le mode dégradé

Investigation

Avoir une cartographie à jour et avoir préparé les confinements

Tracer toutes les informations. Rédiger une chronologie d'attaque.

Prioriser les services critiques. Ne pas lever le confinement sans validation formelle.

Capacité de maintien en condition opérationnelle (MCO)

PCA = plan de continuité d'activité.

Avoir du matériel de secours. Définir le déploiement de solutions de contournement (par exemple pour les solutions Cloud)

Bonus

Comment le CHU de Brest a transmis les documents au PRIS ? : boite email prêté par un autre établissement, et envoi des documents depuis un ordinateur externe.

Le coût de l'attaque est estimée à environ 2,5 millions d'euros.

Le taille des journaux informatiques audité par le PRIS était d'environ 800 go.

Aurait-elle pu être évitée ? Oui. Les actions de cyberprotection qui étaient envisagées dans les mois suivants aurait protégé de l'attaque qui a été faite.

Les équipes SI se sont tous investis suite à l'attaque (heures sup,..). Il est bien d'avoir une logistique adaptée gérée par des personnes dédiés (plateaux repas, logements, transports) dans ces cas d'urgence. Rester vigilant sur la charge et la fatigue de chacun.

Il faut expliquer aux équipes en interne ce qu'il se passe. Le CHU de Brest avait communiqué par la voie des médias mais pas assez en interne. Il faut expliquer aux agents pour éviter les comportements inadaptés comme le personnel qui utilisent la connexion partagée de leur smartphone pour continuer à se connecter à internet.

Retour d'expérience sur la cyberattaque d'une association

Une association dans le médicosocial a été attaqué en mai. Les agents se sont réveillé un matin avec un message demandant le payement d'une rançon sur leur ordinateur (virus medusa locker). Ils ont appelé le Cert santé.

Un vol de données a eu lieu. les données sont toujours en vente pour 40 000 $ et n'ont pas trouvé preneur.

Le prestataire informatique avait fait du "bon travail" et des sauvegardes ont pu être restaurées en 2,5 jours.

Voici la liste des étapes et les mesures de protection possible

Vol d'identifiants

Par un mail de phishing imitant un email de Microsoft

• Sensibiliser les utilisateurs (e-learning, bonnes pratiques, campagnes de phishing test) (PS : Simango va sortir une formation sur la cybersécurité :) )
• Activation de l'authentification multi facteur MFA (devoir indiquer un code supplémentaire
• Anti Spam et Anti Phishing plus poussé avec des règles de filtrages avancées (usage des protocoles DMARC, DKIM, SPF,..)

16/05 Connexion sur un serveur RDS (contrôle à distance d'un ordinateur)

• Authentification multi facteur
• Ne pas laisser l'ordinateur accessible sur internet ou le protéger (VPN, audit d'exposition)
• Cloisonner les réseaux et appliquer un filtrage fin (pare feu, segmentation,..)

25/05 Attaque : Tentative d'exécution d'un logiciel bloqué par l'antivirus. Puis évasion de l'antivirus par l'attaquant. Récupération d'un identifiant admin local. Désactivation de l'antivirus

• Activer le blocage automatique des alertes graves (ici, c'était juste une alerte sans blocage)
• Surveiller la console de manière régulière (ici l'anti-virus avait indiqué de nombreuses tentatives du pirates mais personne pour les lire)
• Durcir la configuration et vérifier l'activité (empêcher un administrateur local de pouvoir désactiver l'antivirus)
• Avoir des mots de passes administrateurs local différents pour chaque poste (solution LAPS)
• Déployer un antivirus sur tout le parc informatique

28/05 Récupération des données et envoi vers une adresse IP étrangère.

• Superviser les flux réseaux (l'envoi des données a été faite par un port inhabituel, et en quantité importante: 9 go de données compressées)
• Surveiller les mises en vente sur internet (certains organismes alertent)
• Définir un Plan de Reprise d'Activité.

30/05 Chiffrement des données et demande de rançon

• Déconnecter les machines du réseau sans les éteindre (pour conserver les journaux) ou les allumer (pour éviter leur contamination)
• Disposer des sauvegardes intègres (hors site)

02/06 Mise en vente des données

• Signaler, dépôt de plainte, déclaration CNIL, informer les personnes concernées.

Avec le prestataire informatique, il faut définir dans le contrat ses responsabilités et leur engagements de sécurités. Certains le font bien, d'autres font le minimum.

Voilà, si ces notes auront intéressées un seul lecteur et permis d'éviter une cyberattaque, c'est une bonne chose. merci pour votre lecture :)

https://esante.gouv.fr/strategie-nationale/cybersecurite

Un doc intéressant https://esante.gouv.fr/sites/default/files/2022-01/DP-CYBERSECU-MONTE-201625-WEB.pdf