La gestion des logs en toute confiance au CH de Tourcoing
Avec des accès à distance qui se multiplient, un internet des objets en plein essor, des interconnexions de plus en plus poussées, le risque digital est devenu un problème majeur. Et la crise du Covid-19, du fait du télétravail et des accès à distance, a encore accentué un peu plus la tendance et les menaces. Au CH de Tourcoing, pas d’incident à signaler sans une vraie Politique de sécurité. Pour une surveillance toujours plus accrue, l’établissement s’est doté récemment d’une solution SIEM (Security Information and Event System) adaptée à l’Analyse des risques.
Cloisonner informations médicales et informations machines pour un meilleur niveau de sécurité
Au CH de Tourcoing, le changement s’est opéré il y a un an. Auparavant réalisée via Syslog, la gestion des logs est désormais régie par la plateforme RSA NetWitness. « En explorant d’autres solutions, nous avons remarqué que RSA NetWitness était le seul outil faisant la part des choses entre données médicales et données machines » , note Ahmed Kacer, RSSI du CH de Tourcoing. Un atout de poids en termes de sécurité, de risque d’intrusion, de cyber attaques qui aura été décisif.
Dans un environnement de production massive de logs, le SIEM fait office de tour de contrôle pour détecter, prévenir les risques, et réagir au mieux. En temps réel, la plateforme concentre de multiples informations. « Des informations que j’ai pu personnaliser selon mes besoins, précise Ahmed Kacer. Je reçois au fil de l’eau des alertes de sécurité. J’ai pu coupler le gestionnaire de vulnérabilité de l’établissement avec la gestion des accès frauduleux afin de me faire remonter les alertes nécessaires » de compléter la sécurisation de notre système. Et en cas d’alerte justement, les investigations sont simples grâce à un système très intuitif pour retrouver les données utiles.
« Notre plateforme permet d’évaluer les risques, de bloquer les attaques (phishing, tentatives d’accès, chevaux de Troie…), mais aussi, bien évidemment, de se mettre en conformité », résume Rachida Majeri, account executive chez RSA, spécialiste du secteur public. Programme HOP’EN, directive NIS (Network and Information system Security) intiment aux établissements de donner la preuve de leur mise en conformité sur divers aspects (sauvegardes, alertes, sécurisation des accès, etc.). Et RSA NetWitness participe à cette démarche.
Une mutualisation facilitée
A Tourcoing, la solution a donc fait ses preuves. Au point qu’au CHU de Lille, appartenant au même GHT (Lille métropole Flandre intérieure), la plateforme est également en cours d’installation. « Via des parsers, il est très aisé de transmettre les informations puisées dans RSA NetWitness d’un établissement à l’autre », signifie Ahmed Kacer. Les mutualisations sont ainsi simplifiées. Quand on connaît le coût de développement d’une application, les gains ne sont donc pas négligeables.
Et la plateforme sait s’adapter à des environnements évolutifs. Lors de l’intégration d’un produit exotique, « nous avons toujours eu une réponse rapide de la part des équipes RSA », note Ahmed Kacer. Une adaptabilité que l’on retrouve dans la lutte contre les attaques. « Chaque nouvelle menace est répertoriée et alimente notre base de données », indique Rachida Majeri. Le machine learning permet alors d’aller toujours plus loin dans la veille. Tentatives d’accès simultanées dans différents lieux, changements de Wifi, même la façon de taper sur le clavier est scrutée pour une vigilance encore plus accrue.
Marion Bois
