Le SOC pour les structures de santé, absurde ou nécessaire

Sécurité de l'information
Le SOC pour les structures de santé, absurde ou nécessaire

La première semaine d'Avril s’est tenu le 4ème congrès national de la Sécurité des SI de Santé, au Mans, organisé par l'APSSIS, occasion parfaite pour approfondir le sujet entre RSSI, DSI, juristes, industriels,  consultants, experts, autorités de tutelle, directeurs, médecins...

Nous y avons entendu que les établissements de santé ont été plus attaqués que les autres organisations ces dernières années. On nous a tellement parlé de cas d'infection par des Cryptolockers en établissements de santé qu'on finit par se demander si certains ne devraient pas prendre un abonnement auprès des hackers.

On a entendu un médecin nous dire que la médecine se fera bientôt sans médecin, tant le SI devient critique dans le processus de soin, et plus seulement utile au processus administratif.

On a échangé sur la complexité de gérer le consentement du patient dans ces nouveaux SI de soins et surtout au sein de Groupements Hospitaliers de Territoire d’où devraient émerger des SI convergents, à défaut d'être identiques.

On nous a parlé d'initiatives nationales fortes, de volonté des autorités de tutelle d'amener de l'aide à des établissements. Mais pas d'argent (ou pas assez), et d'ailleurs les ARS n'étaient pas présentes.

On nous a parlé de la pertinence d'initiatives de prise en charge des risques de sécurité des SI dans des contextes Hôpital Numérique ou de certification des comptes des établissements de santé. J'y crois depuis toujours.

On a même pu entendre des témoignages de la pertinence de certaines technologies, bien adaptées au monde très particulier de la santé en France. Je veux bien le croire aussi.

 

Bref, nous avons parlé d'un écosystème complexe, où le SI devient vital et les difficultés quotidiennes plus importantes avec le temps ; un écosystème qui n'a pas les moyens d'avoir des problèmes de SI pourtant ; et un écosystème qui va rechercher, j'espère trouver, de nouvelles clés d'organisation dans les prochaines années.

Et puis, nous avons (un peu) parlé de SOC.

Un SOC ! Dans un établissement de santé ! Et puis quoi encore...

Un SOC, c'est pour les banques, ou peut-être les industries...  Dans la santé, on n'en a pas les moyens.

 

Je ne sais même pas ce qu'est un SOC !

La question est là ? Qu'est-ce qu'un SOC ? Si on interroge plusieurs spécialistes de la sécurité, il est probable qu'on ait autant de réponses que de personnes.

Il semblerait qu'il y ait quelques éléments communs quand même :

1) Ça parle de sécurité terrain, opérationnelle, au quotidien
2) Ça traite de surveillance en continu des SI, et de réaction en cas d'incident, mais peut-être pas seulement

Un SOC, c'est d'abord une structure qui doit aider à gérer sa sécurité opérationnelle ; voire la prendre en charge. Une tour de contrôle sans doutes, et qui dans certains cas peut piloter aussi quelques avions, pour plus de pertinence.

Un SOC, ce n'est pas magique. Il ne suffit pas d'en mettre un en place pour ne plus avoir de problème.  Un SOC, ce sont des humains, des processus et des technologies qui peuvent tour à tour être pertinent(e)s, insuffisant(e)s, efficaces puis faillibles. Un SOC ne peut travailler qu'en connaissant son contexte.  Un SOC ne fonctionne efficacement qu'avec un véritable pacte de communication entre l'établissement et l'opérateur du SOC, pour éliminer petit à petit le « bruit de fond » et comprendre un déploiement progressif en périmètre tant qu'en profondeur d'analyse.

 

Je n'en ai pas besoin !

Nous avons raconté quelques histoires vraies, d'une structure de santé dont les données sont exposées sur Internet pour avoir fait trop confiance à son fournisseur et ses équipements de sécurité, pourtant jamais surveillés.

Celle d'un industriel lourdement infecté par Cryptolocker mais qui aurait pu s'apercevoir des infections en regardant les consoles des équipements de sécurité déjà investis, déjà intégrés.

Celle d'une organisation dont les utilisateurs souffraient de lenteur du réseau à cause d'un utilisateur un peu trop gourmand pour des raisons... à peine professionnelles. À nouveau, des signaux avant-coureurs auraient pu être observés par un simple top 10 non nominatif des utilisations web.

Ces quelques histoires racontaient finalement la même chose : les organisations avaient déjà installé tous les composants qui auraient pu et dû prévenir ces problèmes ; mais ça n'a pas été le cas et ces mêmes organisations les ont, parfois lourdement subies. Il aurait fallu comprendre en amont qu'une technologie, toute performante qu'elle soit, est rarement autonome. Non surveillée, non maintenue, voire non exploitée, elle n'est ni plus ni moins qu'une brique de plus à payer tous les ans.

 

C'est bien trop tôt !

Aux établissements qui m'indiquent ne pas avoir la maturité pour mettre en place un SOC, je pose cette question : faut-il vraiment une grande maturité pour essayer d'optimiser ses habitudes ?

À ceux qui m'expliquent que le SOC doit commencer par la protection des données médicales, mais que les applications concernées ne peuvent pas être intégrées, car pas prêtes, je proposerai d'avancer pas par pas, de manière opportuniste.

Pour se permettre une petite métaphore qui j'espère me sera pardonnée, la prévention passe par le dépistage. Dépistons nos petits soucis de SI quand on peut les soigner avant qu'ils ne deviennent de vraies pathologies. Et pour dépister, il ne suffit pas de rester chez soi à faire comme avant ; il faut faire mener des contrôles.
Pas obligatoirement une détection 24h/24, 7j/7. Mener des scans réguliers de détection des vulnérabilités sur ses SI les plus exposés est déjà un atout important. Cela permet d'aider les équipes opérationnelles à remédier aux problèmes, du moins sous réserve de prendre en compte les usages de chaque composant du SI.

 

Je vais faire perdre du temps aux équipes SI !

Un SOC ne fera pas gagner de temps à des équipes opérationnelles. Peut-être même qu'il faudra en perdre un peu voire pas mal dans un premier temps.

Mais il permettra de gagner en confiance, il contribuera à prévenir des incidents majeurs qui coûteront petit à petit toujours plus cher. Il permettra de recentrer les techniciens des SI hospitaliers sur leur métier, c'est à dire garantir un SI pertinent et performant, et pas à leur faire perdre du temps à chercher des informations complexes.

Il contribuera à rentabiliser les lourds investissements de sécurité faits par les établissements.

 

Pour conclure

Alors un SOC en santé, absurde ? Je ne pense pas, si on sait avancer de manière pragmatique, pas à pas en recherchant toujours l'optimisation. Si on se rappelle que dans SOC, il y a d'abord "Operation".

Nécessaire ? SOC ou pas SOC, s'assurer que les investissements qui sont faits sont utiles et utilisés est nécessaire. Un établissement de santé n'a pas les moyens de cumuler les investissements technologiques sur son SI.

Trop tôt ? Mettre en place une sécurité opérationnelle forte ne se fera pas en un jour. Il n'est jamais trop tôt pour réfléchir à la manière de simplifier notre vie de demain.

Je laisse la vraie réponse aux RSSI, aux DSI et aux directeurs. Mais n'attendons pas que l'État ne nous impose la mise en œuvre de ces mesures car la marche sera alors sûrement trop haute.

Tristan Savalle, Consultant sénior, Advens