Toute organisation moderne doit anticiper et résoudre au plus vite chaque incident pouvant perturber ses activités. Une agilité offerte par le NSOC d’ORPEA (Network & Security Operation Center), un dispositif rare dans le domaine de la santé.
Le vendredi 14 octobre 2016 marque un jalon important pour le groupe français ORPEA. Ce jour-là, la certification ISO 27001 est accordée par Bureau Veritas au leader européen de la prise en charge de la dépendance. Cette mise en conformité récompense neuf mois d’efforts et de coopération intense entre les métiers et la DSI. « Le système de management de la sécurité des informations concerne 45 000 salariés répartis en Europe, dans 733 cliniques et maisons de retraite, où l’hébergement des données patients est considéré comme une activité stratégique », souligne Mauro Israël, expert cyber-sécurité du groupe ORPEA. Il dresse un bilan encourageant du projet NSOC, ce nouveau centre opérationnel de supervision et de sécurité qui a motivé les métiers par sa communication visuelle et ses tableaux de bord multicolores, dignes de ceux des meilleurs.
Données de santé confidentielles
C’est un changement de culture qui vient de s’opérer, apprécie l’expert: « Le modèle proactif est désormais privilégié par rapport à une réaction aux incidents constatés, qui prévalait jusque-là. Il fallait prendre les devants notamment face à l’essor des ransomwares. Notre démarche ISO 27001 traduit aussi une meilleure organisation, une infrastructure supervisée de bout-en-bout, et une confiance avec les métiers, gros utilisateurs d’informatique ».
Parmi les cyber-risques redoutés, la fuite de données confidentielles et le détournement potentiel de ressources affaiblissent des services techniques parfois longs et délicats à reconfigurer. Or les soins prodigués aux résidents et patients exigent d’accéder rapidement à l’information, partout et, à tout moment.
« Nous avons subi plusieurs cyberattaques, qui n’ont jamais affecté de manière significative ou importante notre service jusqu’ici ; mais, dans notre démarche d’amélioration continue des pratiques, nous avons souhaité remonter notre niveau de sécurité, en particulier pour lutter efficacement contre les rançongiciels (ransomwares) », retrace l’expert.
On trouve plus souvent une cellule NSOC chez les opérateurs télécoms et dans les instances gouvernementales ou de défense, que dans le domaine de la santé. ORPEA dispose, il est vrai, de son propre datacenter situé dans ses locaux de Puteaux. Ce site, de niveau TIER 3+ aux dispositifs redondants, héberge une vaste ferme de plus de 500 serveurs essentiellement CITRIX. Les applications réalisées sous Windev et les bases Oracle pourraient y faire l’objet d’attaques préjudiciables. Le NSOC était donc la réponse appropriée pour protéger un tel système d’informations.
Vulnérabilités suivies en temps réel
L’enjeu du projet consiste bien à améliorer le socle de sécurité complet des applications et des données de santé. La direction générale a bien soutenu les arbitrages budgétaires nécessaires et a chargé la DSI, dirigée par Victor Rodrigues, de réunir les compétences nécessaires au pilotage du NSOC, soit sept équivalents temps plein. L’équipe est composée de techniciens chargés de l’escalade depuis le helpdesk de niveau 1 vers le niveau 2, d’administrateurs IT et spécialistes de niveau 3 et de nouveaux experts, tous formés à la cyber-sécurité.
Un référentiel de développement sécurisé et une check-list accompagnent tous les nouveaux projets, ainsi que les mises à jour importantes, rassurant les équipes métiers qui coopèrent volontiers avec l’IT. Ainsi, le RSSI, David Rodrigues, la CIL, Valérie Muller et le DSI adjoint, Mehdi Gasmi, ont travaillé de concert pour la mise en œuvre des processus.
L’outillage mis en œuvre alerte les équipes, facilite les diagnostics puis recommande des mesures correctives. La traçabilité des activités des admins retient Balabit comme solution, tandis que les vulnérabilités sont pistées et corrigées via Cyberwatch et, les malwares éradiqués par Intel-McAfee. Les systèmes sont inventoriés et patchés via l’outil BMC Numara, et les sauvegardes synchronisées avec le site de secours, assurées par CommVault. Le chiffrement de fichiers dans les échanges point à point entre soignants retient BlueFiles, agréé par le Ministère de la Santé. La supervision des infrastructures s’effectue au travers du logiciel POM Monitoring et quelques outils complémentaires sont utilisés pour optimiser les performances.
TMM et DCI sont les sociétés engagées dans le support du SI et le site de secours. Les sociétés Européennes (Balabit) et Françaises en particulier (POM Monitoring, Cyberwatch, Bluefiles, TMM, DCI) ont été privilégiées quand c’était possible. « Une dizaine de modules de supervision sont déjà opérationnels. Nous prévoyons de mettre en place un SIEM complet pour l’analyse et les alertes des événements de sécurité en temps réel », précise Mauro Israël. De nouveaux horizons s’ouvrent à présent autour des capteurs et objets connectés, qui pourraient aider à remonter les alertes vitales de patients aux personnes habilitées par exemple.
Auteur : Olivier Bouzereau