Le GHT Aisne-Nord Haute-Somme, ce sont environ 2700 salariés et 900 lits, avec un système d’information complexe, comme les connaissent les établissements de santé, marqué notamment par les équipements biomédicaux. Sans compter des contraintes métiers très particulières.
Mais la cybersécurité n’y est pour autant pas négligée, loin s’en faut, avec protection des accès à privilèges avec les outils de Wallix assortis d’authentification à facteurs multiples (MFA), gestion des comptes avec Microsoft Entra, et une sécurité périmétrique (pare-feu) et en profondeur (EDR) signé Palo Alto. Et pas question de considérer cela comme suffisant.
Arnaud Blasyk, RSSI et DPO du GHT Aisne-Nord Haute-Somme, s’est donc associé les services de Becycure pour aller plus loin, et notamment gagner en visibilité sur les menaces. Le MSP Français propose un service 24/7 souverain, avec des équipes de supervision réparties entre Nouméa, Paris et les Antilles. Ce sont elles qui vont s’occuper de surveiller ce que surveilleront les sondes Jizô de Sesame IT.
Ces sondes comptent parmi celles qualifiées par l’Agence nationale de la sécurité des systèmes d’information (Anssi) et basées sur l’IDS Suricata. Ces sondes de NDR sont enrichies avec une bonne dose, indispensable, de renseignement sur les menaces. Cerise sur le gâteau, Sesame IT a travaillé depuis plusieurs années à traiter les flux hors bureautique, avec notamment les systèmes OT.
Le GHT Aisne-Nord Haute-Somme voulait être prêt pour les Jeux olympiques de 2024. Mais la décision a été prise au tout début du printemps : il fallait aller vite. Un problème ? Avec la NDR, pas nécessairement.
Une phase de cadrage d’une journée a été, de toute évidence, nécessaire pour une pré-configuration, suivie d’une journée d’intervention pour la livraison et l’installation de la sonde. La prestation a démarré le 26 juillet derniers avec l’activation des règles de détection.
Sans surprise, des faux positifs ont initialement été remontés en nombre : c’est l’inévitable période d’étalonnage et d’apprentissage des sondes réseau.
Mais quelques mois plus tard, explique Arnaud Blasyk, les rapports d’incident sont relativement rares – il s’agit surtout d’alertes sur des défauts de configuration.
Les sondes Jizô surveillent le trafic est-ouest et complètent ainsi la visibilité sur les activités réseau potentiellement dangereuses, simplement suspectes, ou non autorisées. Du trafic TOR a ainsi été constaté, entre listes de nœuds de sortie connus et d’analyse comportementale.
À cela se sont ajoutées des tentatives d’attaque en force brute sur un serveur FTP – qui a été isolé le temps d’identifier les sources de ces essais. Mais il a également fallu compter avec la détection de requêtes plus préoccupantes, associées aux activités de l’acteur malveillant Nobelium (APT29) : une détection précoce de machines potentiellement compromises et susceptible d’avoir évité des déplacements latéraux avant d’éventuels dommages préjudiciables à l’activité du GHT.
Les sondes ont également permis de détecter des actifs « oublié », à commencer par une machine virtuelle Kali Linux qui avait été déployée antérieurement à l’occasion d’un test d’intrusion.
En pratique, Becycure s’occupe de la supervision des sondes, remontant les alertes aux équipes de cybersécurité des établissements du GHT, suivant des processus bien établis mais potentiellement amenés à évoluer à l’avenir : car c’est au sein du GHT qu’est assuré le croisement entre alertes remontées par la NDR et données des autres composants de cybersécurité. Une situation induite par le fait que chaque établissement du GHT avait déjà ses outils et partenaires avant le déploiement de Jizô, mais qui aide à prendre en compte les spécificités métiers des établissements concernés.
Ce déploiement n’est en tout cas qu’un début. L’extension de la couverture de détection au biomédical est à venir, mais également une utilisation des sondes dans une logique de prévention des fuites de données (DLP), avec la détection de données personnelles sensibles dans les flux réseau.
Plus de détails sur l’article original.