Cyberattaque : humains et fournisseurs, les maillons faibles
La menace cyber est au plus haut niveau et la fragilité de la sous-traitance est une préoccupation grave. Cartographie des données sensibles et entraînement des équipes sont des obligations. Les directeurs achats publics et les directeurs de la sécurité réunis lors des HA Days achats publics et SécuriDays des 2 et 3 décembre à Deauville ont confronté leurs expériences.
Les trois point clés du débat • Le risque cyber est désormais au niveau des risques vitaux de continuité de service pour les hôpitaux et les collectivités. • La chaîne de sous-traitance et les comportements individuels restent des portes d’entrée majeures qu’il faut encadrer, former et contractualiser. • La combinaison cartographie fine des données, cloisonnement des systèmes et exercices réguliers permet de limiter l’impact d’une future attaque.
Cyberattaque dans le secteur public, un risque potentiellement vital
« Dans un hôpital, une cyberattaque, ce n’est pas qu’un sujet IT : ce sont des vies, des opérations, une prise en charge qui peuvent s’arrêter du jour au lendemain. »
« Le jour où l’attaque est tombée, on est arrivé un dimanche matin dans un hôpital où tout était à plat : on est repartis au papier, tout le monde était en panique. »
« Quand le système d’information d’un département est à l’arrêt, cela se traduit très vite dans la vie réelle : des dossiers d’enfants en situation de handicap qui n’avancent plus, des droits qui ne sont pas ouverts. Le risque cyber est désormais au même niveau que les autres risques majeurs. »
Sous-traitants et prestataires, cheval de Troie
« Dans beaucoup de cas, la sous-traitance reste la porte d’entrée de l’attaque : un petit prestataire anodin, par exemple celui qui gère les badges sur un événement, peut ouvrir tout le système sans même s’en rendre compte. »
« On s’est rendu compte que la vraie faiblesse ne venait pas de notre réseau, mais des intégrateurs qui utilisaient le même type de mot de passe partout : quand on en connaît un, on peut deviner tous les autres »
« Pour un attaquant, le sous-traitant est souvent le maillon le plus faible. Il faut les sensibiliser, les former, mais aussi prévoir contractuellement que, si la faille vient d’eux, ils supporteront une partie des conséquences. »
Identifier ce qui est vraiment critique
« La première question à se poser, c’est : avons-nous identifié nos données confidentielles ? Sans hiérarchie claire, on prétend tout protéger… donc on ne protège vraiment rien. »
« Il faut revoir en profondeur la classification des données et les profils d’accès : qui a le droit de voir quoi, et pourquoi »
« Nous avons construit un glossaire de sécurité pour traduire les normes cyber en clauses compréhensibles par les acheteurs. Quand on achète une solution numérique, on sait précisément quelles exigences poser sur la protection des données. »
Former, segmenter, contractualiser
« Notre préoccupation majeure reste le phishing : on ne promet plus des places pour un grand événement sportif, mais des chocolats ou des cartes cadeaux, et nos collaborateurs continuent massivement à tomber dans le piège, tous métiers confondus. »
« Comme pour les exercices incendie, nous avons rendu obligatoire au moins un exercice cyber par an : ces simulations changent vraiment la façon dont les directions perçoivent le risque. »
« Il faut partir du principe que la première barrière, l’humain, finira par céder. L’enjeu, c’est ce qui se passe après : cloisonner les systèmes, limiter les accès directs, imposer une double authentification et rendre les bases de données étanches pour éviter l’effet domino. »