Un récit éclairant sur les enjeux et les solutions
Pierre Taveau, le RSSI du CHU de Poitiers, est revenu sur l’importance cruciale de la sécurité des établissements de santé, mettant en avant les défis actuels rencontrés dans ce secteur.
Premièrement, la digitalisation croissante du parcours de santé accroît la surface d’attaque, avec une multitude de logiciels et d’applications métier suivant le parcours de soins du patient. De plus, l’exposition des équipements médicaux sur Internet, notamment dans le domaine de l’IoT, présente un point de vulnérabilité important.
Il souligne trois enjeux majeurs : la dette technique accumulée au fil des années, le besoin crucial de formation et de sensibilisation du personnel de santé face aux risques cyber, ainsi que le manque de ressources techniques dans ce domaine.
Renforcer la Sécurité des Services de Santé : Les Solutions Cruciales d’Olfeo
L’année 2023 a été marquée par une intensification des défis pour les services de santé, tant publics que privés. Des institutions telles que le Centre Hospitalier de la Réunion ont été touchées, rappelant l’ampleur de ces défis dans le secteur de la santé. Parmi les solutions cruciales, Olfeo et sa passerelle de sécurité Web jouent un rôle central.
Le défi du proxy
Le véritable défi d’un proxy Web aujourd’hui est de contrôler efficacement l’utilisation d’Internet par les utilisateurs. Cela implique non seulement de surveiller les activités des utilisateurs, mais aussi de gérer les dispositifs IoT et autres objets connectés présents sur les différents sites du CHU. Olfeo, avec son moteur de sécurité avancé, offre une protection essentielle grâce au déploiement de politiques de filtrage claires et en mettant en place des mécanismes de déchiffrement de données essentiels pour respecter les réglementations telles que le RGPD.
Les enjeux de sécurité vont au-delà des simples anti-malwares. Olfeo propose une approche globale qui inclut la sécurité DNS, des logs détaillés, une meilleure visibilité des activités en ligne et des pages de sensibilisation pour les utilisateurs. La mise en place d’une politique de filtrage efficace est essentielle pour contrôler l’accès à Internet, prévenir les menaces telles que les malwares, le phishing et les sites illicites, tout en garantissant le respect des chartes informatiques.
Une innovation notable introduite par Olfeo est le concept de Trust-Centric, qui repose sur une base de contenu d’URL solide développée au cours des 20 dernières années. Cette approche permet de bloquer automatiquement tout contenu non vérifié et non validé par Olfeo, réduisant ainsi considérablement les risques liés à la navigation sur Internet.
Concrètement, qu’apporte Olfeo au sein d’un établissement de santé :
Pour revenir au cas concret du Centre Hospitalier Universitaire (CHU) de Poitiers, la démarche adoptée pour assurer la sécurité de quelque 10 000 utilisateurs a été la simplification des politiques de filtrage en se concentrant sur des accès Internet basés sur des catégories prédéfinies, validées par l’ensemble des instances.
Dans ce contexte, l’établissement de santé est passé d’une solution basée sur une solution Américaine, qui devenait de plus en plus compliqué à gérer en interne parce qu’il y avait des dizaines d’exceptions. Le passage à la solution Olfeo fut dans un premier temps compliqué, en raison des différentes exceptions. Cependant, avec l’accompagnement d’Olfeo, l’architecture complète de la solution en interne a pu être revue et adaptée à l’ensemble des établissements du CHU.
Il y a donc un proxy qui sert à faire du load balancing, un maître et quatre esclaves pour gérer les 10 000 utilisateurs, ce qui représente à peu près 7 000 postes sur l’ensemble des sites (5 sites sur l’ensemble du département).
Définition et mise en place du filtrage
La définition des politiques de sécurité de filtrage a été opérée en plusieurs étapes, c’est-à-dire qu’il y a eu une première validation par les hautes instances du CHU, suivie par une validation par l’ensemble des instances. Cette démarche a permis d’informer l’ensemble des utilisateurs afin de déterminer une politique simple par niveau de hiérarchie des postes.
Le premier niveau de politique, c’est aucun accès Internet, ce qui est tout à fait envisageable pour certains des équipements biomédicaux par exemple. Un deuxième niveau est un accès limité avec une liste blanche permettant un accès très restreint à Internet correspondant à l’utilisation des appareils de bloc opératoire, console packs et autres équipements de ce type. Un troisième niveau correspond à la majorité du CHU qui a un accès qu’on appelle “professionnel” sur lequel les différentes instances ont privilégié un accès lié au métier.
Un autre niveau mis en place est une catégorie qu’on peut qualifier de VIP. Cette catégorie répond à différents cas d’usages précis et très contrôlés. Elle permet un accès complet aux sites de commerce pour des acheteurs par exemple. Cette catégorie peut permettre des accès spécifiques pour les psychologues qui sont confrontés à devoir faire des recherches sur des sites sensibles, et ceci s’applique aux différentes exceptions liées aux métiers spécifiques que l’on peut retrouver dans un établissement de santé. La dernière catégorie d’utilisateurs en place est très limitée, elle s’applique aux développeurs qui ont des besoins d’accès plus spécifiques, en particulier pour les besoins de recherche et développement que l’on peut retrouver dans un établissement comme le CHU de Poitiers.
Les politiques de filtrage
Encore une fois, l’ensemble des instances ont privilégié quelque chose de simple. De plus, cette politique est connue et validée par tous les membres de l’établissement puisqu’elle est inscrite au règlement intérieur et validée par la charte informatique. Au sujet de la charte informatique, nous avons souhaité mettre en place des logs individuels pour chaque utilisateur et Olfeo a particulièrement contribué à mettre cette solution en place. En effet, un certain nombre de connexions dans nos établissements sont génériques sur des postes partagés. Nous avons donc créé, avec l’aide d’Olfeo, un portail de connexion interne qui oblige chaque utilisateur qui souhaite accéder à Internet à se connecter avec son identifiant/mot de passe individuel. Ceci permet dans un premier temps de respecter l’ensemble des réglementations et, par ailleurs, cela nous permet d’assurer un suivi et une traçabilité de l’ensemble des accès. En fonction des politiques, nous pouvons retrouver via Elasticsearch différentes alertes sur nos dashboards et tableaux de bord, en particulier lorsqu’une personne tente d’accéder à des catégories interdites.
En conclusion
Olfeo a permit, non seulement de simplifier la gestion des accès Internet du CHU de Poitiers, mais aussi de renforcer notre conformité aux réglementations et de nous aider à améliorer la traçabilité des activités en ligne.
Si vous souhaitez découvrir le webinar complet ci-dessous :