Retour d’expérience Serenety - Rémi Tilly, RSSI, Sesan

Sesan élabore des solutions numériques qui permettent de collecter, stocker, traiter et distribuer de l’information pour les acteurs de santé franciliens. Rémi Tilly, RSSI chez Sesan nous partage son retour d’expérience suite à l’utilisation de Serenety, le service de Cyber Threat Intelligence.

Sesan fait partie du GRADeS, le Groupement Régional d’Appui au Développement de la e-Santé (GRADeS). Ils ont 250 adhérents en Île-de-France qui sont des structures hospitalières et médico-sociales. Rémi Tilly est en charge du département sécurité des systèmes d’information qui a deux missions principales :

1. S’occuper de tous les aspects e-santé régionaux (les solutions régionales sont portées par l’agence régionale de santé)
2. Accompagner ses adhérents à améliorer leur sécurité

Selon vous, quels sont les principaux enjeux pour les hôpitaux ?  

« On pourrait penser que l’aspect financier est le premier enjeu, c’est important, mais ce n’est pas celui que je citerai en premier. Lorsque l’on fait face à des cyberattaques dans les hôpitaux, le premier enjeu c’est la vie des patients et les conséquences qui peuvent en découler.  
En cas d’interruption de service, les professionnels de santé continueront toujours à recevoir les patients. Sans dossier patient, sans résultats d’analyses, c’est difficile de prendre en charge le patient de façon efficace. Cela peut avoir des conséquences fâcheuses et rajouter du stress aux équipes, qui n’ont pas besoin de ça, surtout à ce moment-là.  

J’identifie également un autre enjeu, celui des aspects réglementaires.  De nombreux hôpitaux ont fait face à des demandes de rançon, mais on parle moins des patients qui ont aussi subi ces chantages. De la même manière, les hackers contactent directement les patients et menacent de divulguer des informations.  Si c’est Rémi Tilly qui s’est fait soigner pour un rhume, ce n’est pas très grave. Si c’est une personne qui a fait un séjour dans un établissement psychiatrique, cela peut être un peu plus dramatique.  Ces victimes peuvent se retourner contre l’établissement et les tenir responsables. »  

Pourquoi mettre en place une stratégie de cyberdéfense à travers la Cyber Threat Intelligence ?  

« Depuis 7 ans, nous accompagnons nos adhérents à sécuriser leur e-santé à plusieurs niveaux.  

Nous avons commencé par faire de l’organisation, mettre en place des procédures, des guides de sécurité, faire de l’analyse de risque.  

Nous avons également accentué le volet prévention et sensibilisation. Notamment grâce à des outils pour faire des tests de Phishing. Ils nous permettent d’aller au plus près des utilisateurs et de mesurer leur appétence aux bonnes actions en matière de SSI.  

En ce qui concerne la réaction aux incidents, nous avons souscrit, depuis un peu plus d’an à une offre auprès d’un CERT. Ils peuvent ainsi intervenir rapidement auprès des établissements et apporter des solutions immédiates.  

Il nous manquait une partie supervision globale.
Nous avons donc testé Serenety au début de la pandémie pour avoir une idée de ce que le service pouvait apporter. Nous n’avons pas été déçus, car cela nous a aidés à mettre en lumière un certain nombre de sujets que nous n’avions pas identifié. 

Ce qu’apporte Serenety c’est la surveillance, l’identification de failles, sur lesquelles nous n’avions pas forcément de vue jusqu’à présent. Serenety nous permet de détecter très rapidement si quelque chose d’anormal survient sur les 30 comptes adhérents que nous accompagnons et qui sont les 30 plus gros établissements hospitaliers d’Île-de-France. »

Accéder au guide pour mieux comprendre la Cyber Threat Intelligence

« Il y a 2 cas essentiels d’attaques que nous avons observé contre les établissements. On constate qu’il s’agit davantage d’opportunisme que d’attaques ciblées. Avec un Phishing qui a marché ou un défaut de mise à jour de serveur et l’exploitation d’une faille qui permet de rentrer dans le système d’information.  

La dernière grosse alerte en date c’était le patch de sécurité sur Exchange. Les adhérents de Sesan qui avaient un serveur Exchange, ont directement été informés immédiatement de cette faille.  
Ce qui est appréciable c’est que seuls les établissements concernés par ce système ont été alertés. Ceux qui étaient sur un autre système sur Office 365 n’ont pas été perturbés par la diffusion de cette vulnérabilité.  

J’ai parlé d’attaques, mais Serenety nous remonte également des alertes plus classiques :  

• Nous avons eu des certificats SSL qui arrivaient à expiration. Et puisque les équipes DSI ne sont pas pléthoriques dans les établissements, cela nous a permis d’anticiper ces actions. Cela permet d’éviter des situations où les certificats expirent alors que l’administrateur est parti en congé…  
• Nous avons eu la même configuration pour l’expiration de nom de domaine.  
• Nous avons eu des alertes pour de nouveaux noms de domaines. Même quand on pense avoir une bonne connaissance de son SI, on peut découvrir des noms de domaines qui apparaissent. Pour la plupart, ils étaient légitimes : les services communication ont créé un service particulier, ils l’ont mis en ligne, sans en informer le RSSI ou la DSI.  
• On a une fuite sur Github, ce n’était pas une fuite de donnée, c’était un stagiaire qui avait fait un petit développement dans un établissement et qui avait laissé les login / mot de passe d’accès à la base de données qu’il avait utilisé. Il n’y a pas eu d’usages frauduleux, mais cela reste intéressant d’avoir ce type d’information. » 

Accéder au replay du webinar “30 minutes pour comprendre comment réduire ma surface d’attaque sur internet” 

Qu’est-ce que le service vous apporte ?  

« C’est vrai que le nom Serenety est bien choisi ! Le service nous apporte un peu de sérénité. Il nous rassure sur ce qui est exposé sur les SI et sur internet. Serenety permet de détecter extrêmement rapidement les attaques potentielles. Pour nous, il est essentiel d’être présent en amont et d’intervenir rapidement sur un élément qui serait défectueux. 
Serenety représente un gain de temps et une organisation : nous ne sommes pas noyés sous une masse d’information : ce sont des informations qui sont ciblées et qui sont directement liées au périmètre de l’adhérent.  

Nous complétons cette offre avec d’autres actions comme des scans de vulnérabilités ou des tests d’intrusion. »

Nous avons exposé la manière dont XMCO traite la Cyber Threat Intelligence pour réduire les risques de nos clients sur Internet. Pour en savoir plus :

Découvrez le résumé du webinar

Nos équipes se tiennent à votre disposition pour tout renseignement complémentaire : contacter l’équipe