Interview Fondation A. de Rothschild

Interview Fondation A. de Rothschild

S’entourer d’experts dans un domaine en permanente évolution est primordial pour assurer la sécurité de notre organisation.

Suite au déploiement d’un NAC (Network Access Control), Philippe Rouilhac, Directeur des Systèmes d’Information et des Technologies Médicales à la Fondation A. de Rothschild, nous partage son expérience et sa collaboration avec deux acteurs clés du marché, AISI, Pure Player Cybersécurité & Infrastructure et Forescout, éditeur et constructeur de solutions de sécurité.

La multiplication des objets connectés et la recrudescence des cyberattaques contre les entreprises du milieu de la santé augmentent. Quelle est votre stratégie pour y pallier ?
Pour lutter contre ces attaques, nous avons appris à estimer les risques et leurs conséquences, parfois désastreuses. En effet, le milieu hospitalier a fait face durant les années 2016 et 2017, à de nombreuses attaques obligeant certains établissements, notamment en Angleterre, à fermer leurs portes, le temps de réparer les dégâts causés par une attaque. Pour ce faire et surtout car nous évoluons dans un environnement mouvant, nous devons rester humbles, reconnaître nos limites et collaborer avec des professionnels à même de nous prodiguer les meilleurs conseils pour protéger notre organisation et nos patients de façon optimale.

Pourquoi avez-vous souhaité mettre en place un NAC ?

Plusieurs raisons ont motivé notre choix. J’ai participé fin Décembre 2016 à une conférence autour de la sécurité, organisée par le Ministère de la santé. Les nombreux témoignages de professionnels victimes d’attaques ont été un premier élément déclencheur. Nous avons alors décidé de faire réaliser un test d’intrusion (pentest) afin de mesurer le niveau de sécurité de nos infrastructures. Il a été détecté un risque d’intrusion interne via les prises réseau permettant entre autres, la connexion des téléphones dans les chambres des patients.

Quels besoins métiers étaient associés à cette réflexion ?

Pour les métiers du médical l’informatique est perçue souvent comme une complication et la sécurité qui lui est associée comme une véritable gêne. Nous avions donc principalement réuni des professionnels de l’informatique car nous avons un peu plus conscience des risques encourus, ce qui n’est pas encore le cas des autres métiers, pourtant très sensibles aux risques sécuritaires de leur propre domaine. Nous avons une responsabilité par rapport à la vie de nos patients et nous devons envisager le pire. Notre rôle consiste aussi à évangéliser l’intérêt et le pourquoi de nos actions, et faire comprendre au-delà de l’environnement professionnel la nécessité d’une bonne protection contre les risques informatiques.

A quel moment ce besoin s’est-il fait ressentir ?

Depuis environ 5 ans, la Fondation A. Rothschild modernise ses infrastructures et dématérialise ses processus au travers du déploiement du Dossier Patient Informatisé et de ses logiciels connexes. Cette hétérogénéité de solutions logicielles et l’accroissement des interconnexions sur site et surtout entre sites ou avec des organismes externes augmentent le facteur risque.
Les événements de 2017 ont aussi permit de factualiser les potentiels effets d’une architecture technique non sécurisée, de sensibiliser les acteurs et d’évaluer les conséquences des attaques. Nous avons donc priorisé des investissements pour renforcer les infrastructures et faire évoluer la sécurité au sein de la Fondation.

De quels dangers souhaitez-vous vous protéger ?

Toute tentative d’intrusion est un risque. Nous avons catégorisé les dangers en deux parties :
les dangers externes, arrivant par la messagerie, internet, tels que les ransomwares qui bloquent ou modifient les systèmes avec pour seule motivation, une volonté de nuire,
et les risques internes, à ne pas négliger, inhérents aux réseaux informatiques, filaires ou non et aussi l’utilisateur, l’informaticien lui-même n’étant pas à oublier.
L’éducation pédagogique pour sensibiliser nos utilisateurs et les rendre ainsi plus vigilants est clé. Les outils limitent les dangers, l’utilisateur final reste le dernier rempart aux attaques.

Combien d’utilisateurs sont concernés par la mise en place du NAC ?

Il y a environ 1300 collaborateurs travaillant à la Fondation, près de 1000 postes de travail et plus de 2000 dispositifs médicaux. Nous dénombrons entre 3500 et 4000 prises réseaux aux blocs, en consultation, dans les locaux administratif ainsi que dans les chambres des patients. Nous disposons de réseaux Wifi, propres aux professionnels de l’établissement mais aussi accessibles à nos patients. Tous ces points d’entrée sur nos réseaux sont concernés par cette sécurisation.

Quel est le profil de vos utilisateurs ?

Les patients à qui nous offrons des services d’accès entièrement sécurisés. Les utilisateurs internes, professionnels de santé comme administratifs, qui disposent d’accès personnels et sécurisés aux logiciels. Enfin, les équipes informatiques, avec qui nous avons défini une politique sécuritaire permettant de cloisonner précisément les accès en fonction des usages.

Quels ont été les bénéfices pour vos utilisateurs suite au déploiement du NAC ?

A nos informaticiens, le NAC donne une visibilité optimale sur l’ensemble des objets et éléments connectés au réseau, permettant un confort dans la gestion quotidienne du réseau. A titre d’exemple, l’accès au réseau est purement stoppé à tout objet non référencé. Un protocole pour tout nouvel appareil est indispensable pour autoriser sa connexion au réseau de la Fondation. Ce qui peut être considéré comme une contrainte reste essentielle au maintien de la protection.
Les utilisateurs et les patients quant à eux utilisent nos réseaux en toute sécurité.

Pourquoi avez-vous choisi AISI pour vous accompagner ?

Nous avions dans un premier temps challengé les experts AISI via le pentest. La qualité de la restitution nous a confortés dans notre volonté de poursuivre avec cette équipe sympathique, non intrusive et accumulant de solides références dans le domaine médical.

Comment et pourquoi avez-vous fait le choix de ForeScout ?

Nous avions réalisé un benchmark de deux solutions du marché pour évaluer les forces de notre future solution NAC. Nous avons ensuite opté pour Forescout pour la souplesse de la solution, sa facilité d’installation et le peu de ressource que sa gestion demande au quotidien. Les équipes AISI nous avaient également conseillé d’opter pour cette solution.

Avez-vous optimisé votre TCO (Total Cost of Ownership) ?

La course à la sécurité est une course que je considère perdue d’avance. L’ouverture des systèmes de plus en plus grande, la volonté de nuire de plus en plus forte ne font qu’augmenter sans cesse les risques. Contrairement à un projet classique qui répond à un besoin donné et pour lequel on peut mesurer son ROI, je considère l’investissement pour rendre notre architecture de plus en plus sécurisée comme une sorte de police d’assurance. On paye au cas où il arriverait quelque chose et le jour où cela arrive, vous êtes finalement ravis d’avoir souscrit ce contrat. J’ai peur que payer pour de la prévention soit devenu indispensable pour limiter le plus possible les risques. En ce qui concerne spécifiquement le NAC, il y a au final un gain de temps sur les modifications des VLANs qui sont automatisées. Ce qui est très pratique dans un environnement comme le nôtre où nous sommes confrontés régulièrement à des déménagements internes de personnels.

Recommanderiez-vous Forescout et AISI à vos homologues du domaine de la santé ?
Oui, sans aucun doute. Des partenaires à l’écoute, efficaces et disponibles. Le binôme AISI & Forescout a rempli sa mission.