Étude de cas
Cyber

 

Premier opérateur de santé de Bretagne occidentale, le CHU de Brest compte plus de 8 000 professionnels au service de la santé de la population. Son activité est dispensée sur neuf sites avec chaque année plus de 130 000 personnes hospitalisées couvrant l’ensemble de l’offre de soins.

Il s’agit d’une activité critique en matière de santé à la pointe de la Bretagne où les systèmes d’information prennent une part importante dans l’activité de soin.

Comment HarfangLab protège le système d’information du CHU de Brest ? Jean-Sylvain Chavanne, RSSI, témoigne.

Contexte

Le besoin d’un nouvel outil de détection managé

Jusqu’en 2022, le CHU disposait d’un antivirus pour protéger ses systèmes numériques, mais à cause du manque de ressources internes, celui-ci fonctionnait automatiquement, avec peu de supervision humaine.

Le CHU avait donc besoin de faire appel à un service de cybersécurité managé, tout en renforçant sa capacité de détection des menaces avec des outils de nouvelle génération tel que l’EDR.

"Nous souhaitions investir dans un nouvel équipement de cybersécurité et avoir un service qui supervise 24/7 nos équipements numériques, qui assure un reporting en cas d’alerte et qui nous prodigue des conseils en cas d’événement de sécurité. Personne en interne ne maîtrisait la technologie EDR, nous avions donc besoin de nous reposer sur des équipes externes qui connaissaient bien la technologie, et qui étaient capables de nous conseiller sur le meilleur outil pour protéger notre SI."
Jean-Sylvain Chavanne, RSSI

Besoins spécifiques au secteur hospitalier 

Le CHU avait besoin d’un EDR qui réponde aux besoins spécifiques du monde hospitalier .

A titre d’exemple, l’établissement hospitalier fonctionne avec des serveurs très critiques qui assurent l’interfaçage entre les applications (EAI - Enterprise Application Integration - et EDI - Electronic Data Interchange) dont les ressources sont limitées (comme la RAM). Pour ces serveurs, il était donc primordial que l’EDR ne consomme que peu de ressources sans altérer son fonctionnement.

Par ailleurs, l’EDR devait s’adapter à l’architecture existante du CHU. Les postes de travail et les serveurs sont équipés de systèmes d’exploitation hétérogènes, parfois anciens et pourtant critiques.

Enfin, l’EDR devait garantir le bon fonctionnement des applicatifs métiers critiques quelles que soient les circonstances, comme les équipements biomédicaux qui gèrent de l'imagerie médicale ou de la biologie médicale. En effet, leur blocage peut avoir des conséquences très importantes sur la prise en charge des patients.

Pourquoi HarfangLab ?

En plus de répondre aux prérequis techniques, le RSSI souhaitait une technologie européenne, notamment pour garantir la maîtrise de ses données. Pour faire son choix, il s’est appuyé sur l’expertise et les conseils du MSSP Advens, présent sur le secteur de la santé et qui connait donc ses contraintes et ses enjeux. La solution HarfangLab lui avait également été recommandée par d’autres RSSI dans le secteur de la santé.

DÉPLOIEMENT

Un déploiement progressif

La mise en place de l’EDR s’est déroulée progressivement, notamment pour valider le bon fonctionnement avec les dispositifs médicaux critiques, ce qui a aussi permis de rassurer la DSI. Le RSSI a commencé par déployer l’EDR sur 5% du parc serveurs Windows, 5% des serveurs Linux, et 5% des postes de travail, et ainsi de suite jusqu’à arriver à quasiment 100% du parc. Mais tout ne s'est pas déroulé comme prévu.

Une cyberattaque qui a accéléré le déploiement

Alors que le déploiement était en cours, le CHU a subi une intrusion informatique, ce qui a accéléré drastiquement le déploiement à l’ensemble des équipements.

"Une fois l’EDR déployé sur l’ensemble du parc, cela nous a permis d’avoir une vision sur l’intégralité du système informatique, de voir si l’attaquant avait laissé une backdoor, et de surveiller un éventuel nouveau départ de la cyberattaque. Savoir que l’EDR était déployé sur tous les postes et serveurs m’a permis de pouvoir dormir sur mes deux oreilles pendant cette période difficile."
Jean-Sylvain Chavanne, RSSI

Lors de la cyberattaque, le RSSI a apprécié l'effort collectif mené par les équipes du MSSP Advens et du prestataire de réponse à incidents Lexfo, mais aussi le soutien des équipes CTI d’HarfangLab qui l’ont aidé à identifier les attaquants.

Accompagnement

Le CHU de Brest s'appuie pleinement sur son MSSP Advens qui gère l'EDR HarfangLab.

"Les équipes d’Advens ont aujourd’hui une véritable expertise sur le secteur de la santé. Je suis d’ailleurs sollicité tous les trimestres, comme d’autres RSSI de santé, dans une démarche d’amélioration continue. Elles sont également très réactives : lorsque j’ai un problème ou une question par rapport à la solution, ma demande est traitée dans la demi-journée. Et enfin, ce sont de vrais partenaires : ils sont à l’écoute et prennent en considération nos demandes ou propositions d’amélioration."
Jean-Sylvain Chavanne, RSSI

RÉSULTATS

Une granularité dans la détection et une interface claire

"Nous apprécions la possibilité de jouer sur les modes de détection et de blocage selon les différents moteurs de détection. Nous pouvons personnaliser les modes de blocage et gérer les whitelists à la règle près : ainsi, lorsqu’une règle YARA (signature) ou Sigma (comportementale) sonne, nous savons qu’il y a 90% de chance pour que cela soit un vrai positif. L’interface est aussi très claire. Lorsqu’un évènement de sécurité est remonté par la console, il est simple de lancer tout de suite les investigations et de donner des premiers éléments d'analyse en cas de suspicion d'incident. "
Jean-Sylvain Chavanne, RSSI

Le rôle de l’EDR pour la visibilité sur le système d’information

Selon le RSSI, au-delà de son usage pour la détection des incidents, l’EDR est aussi le seul outil qui donne une visibilité globale sur le système d’information, par exemple pour identifier le nombre d’applications déployées sur le parc, ou encore pour répondre à des problématiques de conformité.

"A la suite de la cyberattaque, la DSI avait besoin de connaître le nombre d'ordinateurs qui étaient équipés d’une ancienne version de Microsoft Office afin de procéder à une migration. Grâce à une simple recherche avec l’EDR, nous avons pu indiquer à la DSI le nombre exact de postes de travail concernés, et ainsi le temps nécessaire pour réaliser cette migration.  L’EDR me donne également une visibilité pour réaliser mes contrôles de conformité sur mes machines, notamment celles qui ne sont pas identifiées dans l’Active Directory. "
Jean-Sylvain Chavanne, RSSI

Un outil qui s’est adapté à l’architecture existante

L’EDR HarfangLab consommant très peu de RAM (~130 Mo), tout le parc informatique du CHU a pu être protégé sans avoir eu besoin de remplacer du matériel ni d’investir dans des serveurs plus puissants. Seuls quelques serveurs équipés de systèmes d’exploitation assez anciens n’étaient pas couverts. La nécessité d’être couverts a accéléré les migrations de serveurs par la DSI.

Une collaboration facilitée entre les utilisateurs

Une fonctionnalité de l’EDR est très appréciée par le RSSI : la possibilité de laisser des commentaires à propos de chaque machine. Cela permet au RSSI de communiquer efficacement avec le MSSP Advens.

"L'EDR offre de nombreuses fonctionnalités qui facilitent le travail collaboratif entre analystes, mais aussi avec notre MSSP. Par exemple, je peux facilement indiquer si des équipements de notre parc sont critiques, afin qu'Advens y porte une attention particulière avant de potentiellement bloquer un processus en cas d’alerte. C’est une option qui peut sembler basique mais qui a beaucoup de valeur dans le secteur hospitalier."
Jean-Sylvain Chavanne, RSSI