Projets

C'est quoi ?

 

La mission transversale Sécurité des Systèmes d’Information (SSI) a été initiée en 2014 dans l’objectif d’accompagner les établissements soumis à la certification des comptes (budget > 100 M€). La mission s’est appuyée dans cette démarche sur le « Guide d’Auditabilité des SI » de la DGOS. La mission transversale adresse également la sécurisation du système d’information SESAN et l’espace numérique régional de santé (ENRS). En 2014, les trois établissements pilotes en Île-De-France ont été accompagnés. Les commissaires aux comptes n’ont pas identifié de réserves sur les systèmes d’information. En 2015, l’équipe SSI SESAN est intervenue dans 15 des 16 établissements de la vague 2 en plus des 3 pilotes, puis en 2016, 5 établissements supplémentaires, dont l’AP-HP. Fin 2016, la mission d’accompagnement à la certification des comptes s’est transformée en mission transversale de sécurité des systèmes d’information. Au-delà de la mise à disposition de RSSI chez les adhérents,  une expertise est apportée sur des outils de sécurité installés localement (ex : prise de main à distance). Des solutions à vocation régionale sont pilotées depuis SESAN. C’est le cas, par exemple, des  scans de vulnérabilités qui permettent d’identifier dans une structure les équipements qui ne sont pas à jour ou présentent des défauts de configuration. SESAN utilise les mêmes solutions, sur l’informatique interne et sur une partie de l’ENRS hébergée dans les datacenters sous contrôle de SESAN. 

 

 

 

 RÉALISATIONS 2017 

 

- 1 - Tout adhérent du GCS SESAN peut bénéficier de l’expertise de l’équipe SSI, avec souscription d’un contrat de mise à disposition. 23 contrats établis, représentant près de 500 jours de RSSI. Ces interventions ont permis de structurer la sécurité des SI en établissement et de mettre en place des solutions techniques. La sensibilisation des directions à la SSI commence à porter ses fruits, portée également par la formation des  Groupements Hospitaliers de Territoire (GHT). Plusieurs établissements ont ainsi décidé de recruter un RSSI à temps plein.

 

- 2 - Une nouvelle session de formation de référent SSI a été organisée par SESAN début octobre. 12 adhérents en ont bénéficié. L’outil de cartographie MEGA est utilisé par 3 établissements. Hébergé par SESAN, il permet de produire des documents de cartographie applicative ou technique ainsi que la génération de site intranet pour les adhérents. MEGA est destiné aussi à décrire la cartographie.

 

- 3 - 23 scans de vulnérabilités effectués sur plus de 8 600 équipements (serveurs, éléments réseau, ...) ont permis de détecter plus de 120 000 vulnérabilités donc 4 714 de niveau critique. On retrouve dans les vulnérabilités celle qui a permis au cryptovirus Wannacry (plus récemment Petya) de se répandre sur les SI industriels. Des scans ont été effectués sur des environnements de développement, pré-production et production de SESAN. Les rapports de vulnérabilité ont permis de vérifier la bonne application des patchs de sécurité sur 274 équipements.

 

- 4 - La campagne de tests d'intrusion initiée en 2016 s'est poursuivie en 2017. Les 10 tests menés en 2017 démontrent que les vulnérabilités détectées permettent un accès effectif au SI. Ils s'accompagnent d'une réunion de restitution dans laquelle sont décrites précisément les actions de remédiation que l'adhérent doit mettre en œuvre.

 

- 5 - Concernant SESAN et l’ENRS, 5 tests d’intrusion ont été menés : 

 

• En interne, sur le LAN SESAN 

• Depuis internet, sur les services exposés 

• Sur les équipements ORTIF en établissement 

• Sur le site santé.fr 

• Sur le portail patient de Terr-eSanté 

• Ces tests ont permis de relever

 

 

 PERSPECTIVES 2018 

 

La sécurité des systèmes d’information n’est pas un projet, c’est un cycle d’amélioration continue. Il faut donc veiller à maintenir ou faire progresser le niveau de sécurité. Les analyses de risques SI vont donc se  poursuivre en 2018. L’actualité des derniers mois (les vagues de cryptovirus) a remis en évidence le manque de sensibilisation des personnels. Cela avait déjà été identifié lors des tests de phishing menés auprès  d’échantillon de population. Les axes prioritaires en SSI sur 2018 portent sur : 

 

1. La formalisation des actions SSI SESAN et sur l’ENRS, au travers de l’analyse de risques et de la PSSI. 

 

2. La sensibilisation : production de supports (affiches, plaquettes), test de phishing.

 

3. L’identification et le traitement des failles de sécurité : la faille Wannacry était identifiée plusieurs mois avant l’attaque. Il faut donc industrialiser le processus de scan.

 

4. Les tests d’intrusion : il faut veiller en permanence au maintien en condition de sécurité, d’autant plus en raison du renforcement des échanges entre structures (GHT) et avec les solutions de l’ENRS.

 

5. La surveillance des traces : les actions malveillantes sont effectives plusieurs semaines ou mois après l’intrusion dans le système. Ces intrusions laissent des traces : il faut se doter des moyens de détecter au plus tôt  les activités anormales. Cela passe par une solution de centralisation et de corrélation des traces, idéalement opérée par un Security Operation Center (SOC). 

 

6. 2018 voit l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai. À cette date, les structures devront avoir nommé leur Délégué à la Protection des Données (DPD ou DPO pour « Data Protection Officer »). Ce sera le cas pour SESAN qui entamera une action auprès des adhérents à partir de sa propre expérience.

 

 

 NOS INTERLOCUTEURS 

 

 

Vous êtes ?
Vous avez besoin ?
Tous nos projets
››