La sécurité par les opérations dans le domaine de la santé

LA SÉCURITÉ PAR LES OPÉRATIONS DANS LE DOMAINE DE LA SANTÉ, UNE AUTRE VISION DU QUOTIDIEN

La sécurité par les opérations dans le domaine de la santé

Plans de mitigation, politique de gestion des accès et identités, « threat intelligence », réponse automatique anti-intrusion, outils de DLP… Les moyens de protéger nos données et notre image sont de plus en plus nombreux et de plus en plus complexes.

Pourtant les brèches de données dans le domaine de la santé sont de plus en plus nombreuses chaque année et touchent autant les grands groupes pharmaceutiques que les hôpitaux et cliniques.

Alors si les entreprises et institutions publiques et privées investissent massivement dans la protection des données de leurs clients, comment peut on observer un tel décalage entre les moyens engagés et les résultats observés ?

Mauvais choix technologiques ? Défaut d’implémentation ? Non maîtrise des solutions ? La réponse est souvent beaucoup plus simple et complexe à la fois.

La sécurité, ce colosse aux pieds d’argile

Avant de penser à détecter les exceptions, il convient de consolider ses fondations en matière de sécurité. Si la sécurité était un bateau à la coque percée, il est plus logique de combler la brèche que d’installer une pompe pour vider l’eau indéfiniment. Et il est primordial d’adopter la même posture en termes de mesures de sécurité en consolidant ses positions au plus proche de vos applications en commençant par le bas, par les fondations de vos actifs, votre infrastructure.

Avec la montée en puissance de l’infonuagique et des plateformes dites d’Infrastructure as A Service, nous sommes maintenant confrontés à deux types de découpage d’infrastructure. Cependant les notions restent les mêmes dans les deux cas.

La mise à jour des couches dites « basses » doit faire partie intégrante des cycles de mise à jour de votre parc applicatif. Cela concerne à la fois les éléments physiques à travers la mise à jour des drivers et microgiciels des serveurs physiques, unités de stockage et autre mais aussi les éléments virtuels tels que les VMWare Tools, Hardware Tools et équivalents. En effet, ceux-ci permettent d’émuler les couches physiques et sont donc la cible des mêmes failles que leurs contreparties physiques en plus de celles qui leurs sont propres.

Deux des plus grosses failles de sécurité de 2018, Meltdown et Spectre, portaient sur des éléments physiques qui sont rarement suivi par les directions informatiques. Les opérations d’urgences pour combler ces failles ont coûté des millions aux entreprises en mise à jour d’urgence, sans compter les efforts humains, les impacts sur les projets et le stress engendré par les équipes.

Au-delà de l’impact financier direct, c’est aussi une mise en danger de la sécurité des opérations de ces entreprises qui a été mise à jour. Tous ces éléments se sont mêlés dans un cocktail explosif, urgence à opérer, plan d’action peu ou pas validé, équipes sous pression et non maîtrise des impacts, le tout dans un contexte souvent hautement médiatique sous l’œil de la presse spécialisée.

Mais quelles sont les solutions à la portée des gestionnaires pour se prévenir de telles situations ?

La perfection est dans la répétition

Contrairement à la croyance commune, les failles ne sont que rarement divulguées le jour de leur découverte, aujourd’hui 98% des failles exploitées par des individus malveillants datent de plus de 3 mois.

D’où l’importance d’avoir un cycle de mise à jour régulier, au moins chaque mois, afin de limiter au maximum sa fenêtre d’exposition au risque. Aller au-delà est certes tentant mais à moins de maîtriser parfaitement son environnement et d’avoir des cycles de mise à jour et de test intégralement automatisés, cela reste bien souvent de l’ordre de l’utopie.

Un cycle de 4 semaines permet aussi de procéder avec rigueur et maitrise en séquençant la mise à jour de ces divers environnements. Cela permet ainsi de limiter l’impact potentiel des mises à jour sur des clients finaux, des utilisateurs et collaborateurs et in-fine sur les besoins d’affaire de votre entreprise.

Au-delà de l’intention, il faut bien entendu mettre en place l’ensemble des éléments de support à votre nouveau processus de gestion des mises à jour afin de l’emmener à un vrai niveau de maturité. Cela se fait travers la documentation, le contrôle et l’amélioration continue.

Gouvernance et conséquences

Identifier, inventorier, décrire, mesurer, améliorer.

Si la gouvernance devait être résumée au mieux, peut être ces 5 mots seraient suffisants. Le but de la gouvernance dans le cadre de votre processus de mise à jour sera avant tout d’en mesurer l’efficacité. Cela se traduit dans le cas présent par deux axes majeurs, la couverture, et la durée d’exposition.

Afin de déterminer la couverture de vos actions, vous devez être capable de déterminer à la fois la liste de vos assets, votre empreinte applicative et les relations entre vos assets et vos processus d’affaire. Cette gestion de l’inventaire de vos assets est primordiale afin d’être certain de votre couverture et qu’aucun asset n’ait été laissé de côté et serait vulnérable, ce qui pourrait constituer une porte d’entrée à tout acte malveillant.

Enfin, le suivi de vos campagnes incluant des indicateurs de performances tels que le pourcentage d’assets mis à jour, le temps entre la sortie d’un correctif et son application et le nombre d’incidents générés par l’ensemble de ces actions, doit vous permettre de vous assurer du respect de votre processus. Ce suivi doit aussi vous permettre de mettre en valeur les axes de progrès de votre processus afin d’en améliorer la performance ; il peut également servir de preuve pour des audits de sécurité afin de confirmer votre conformité à vos normes de sécurité.

Charges en plus et bras en moins

Bien sûr dans le contexte actuel de réduction des ressources disponible, de maintien en compétence des équipes et de recherche de réduction des coûts, il serait tentant de mettre de côté toute cette charge supplémentaire. C’est ici que l’externalisation de ces tâches, hautement nécessaires mais sans grande valeur ajoutée, prend tout son sens. S’appuyer sur une entreprise spécialisée et outillée pour ce type de processus et de suivi permet d’avoir un gage et une assurance de qualité en s’assurant une tranquillité d’esprit maximale.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.