Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

Des hôpitaux développent une « clean room » mutualisée pour contrer les cyberattaques

Sinon il reste la panique room

Des hôpitaux développent une « clean room » mutualisée pour contrer les cyberattaques

Pour assurer de la résilience aux cyberattaques avec une bonne réactivité et une mutualisation des moyens, le groupement hospitalier du Vaucluse travaille sur une clean room. Il s’agit d’un système informatique sur roulettes, capable de prendre le relai de l'infrastructure d’un des hôpitaux de la région. Coût du prototype : 150 000 euros « seulement ».

Le 31 janvier à 15h39

Depuis maintenant quelques années, les hôpitaux sont une cible de choix pour les pirates, qui peuvent profiter d’une exposition médiatique importante en cas de piratage. Les pirates agissent généralement de manière opportuniste : ils ne ciblent pas forcément les hôpitaux, mais un système vulnérable et/ou avec une large surface d’attaque.

Il y a quelques semaines, l’ANSSI faisait un point sur les conséquences bien réelles pour les clients des cyberattaques. L’hôpital peut tourner au ralenti pendant des semaines, voire des mois. Plus récemment, la Cour des Comptes en remettait une couche sur le parent pauvre du numérique hospitalier.

À défaut de moyens financiers, les hôpitaux ont des idées

Cela ne surprendra personne, mais les moyens sont plus que limités dans les hôpitaux. Impensable donc de doubler l’ensemble des machines et des serveurs pour assurer une bonne résilience en cas d’attaque, notamment via un ransomware. Une piste est de mutualiser les ressources entre plusieurs établissements, ce qui implique une solution mobile.

Groupement Hospitalier de Territoire (GHT) du Vaucluse travaille sur un prototype de clean room. Clean, car isolé du réseau et donc « sans virus » même après une cyberattaque. Elle peut aussi être utile en cas de panne critique. Elle a été présentée en novembre aux RSI, RSSI, DSI et directeurs présents aux journées régionales de la sécurité des systèmes d'information de santé. Le Campus Cyber de Marseille est impliqué dans ce projet, qui pourrait rayonner dans d’autres hôpitaux si les résultats sont concluants.

À l’occasion d’un voyage presse dans la Métropole Aix-Marseille, nous en avons parlé avec Géraldine Cornet-Gicquel, directrice des systèmes d’information chez ARS PACA, et Michael De Block, directeur des Systèmes d'Information du GHT du Vaucluse.

But de la clean room : « fonctionner rapidement après la crise »

Le principe est simple sur le papier : « à partir de sauvegardes qui sont isolées du système informatique la clean room permet de redémarrer un système informatique propre et faire en sorte de fonctionner rapidement après la crise ».

La clean room prend la forme d’un bloc sur roulettes de 1 x 1,5 mètre pour un poids de 200 kg environ. Elle s’installe dans la salle des serveurs et remplace ces derniers, dans une version minimaliste. Une fois en place, elle prend le relai et « permet de fonctionner de manière autonome et connecter certains ordinateurs ». En plus d’un serveur sur des roulettes, la clean room s’accompagne de quelques postes informatiques si besoin.

C’est l’argent qui dirige le monde… et les mises à jour

Selon le directeur des systèmes d'information du GHT du Vaucluse, l’hôpital d’Avignon comprend environ 5 000 ordinateurs, mais il peut fonctionner avec 50 seulement en cas de crise. La question ne se pose normalement pas pour certaines machines adossées à des équipements spécifiques. Trop vieilles et pas compatible avec les versions récentes des systèmes d’exploitation, elles ne sont pas connectées au réseau pour limiter les risques.

Les intervenants nous donnent un exemple avec un système d’échographie tournant sur une ancienne version de Windows. Impossible de mettre à jour la machine si l'on veut garder l’échographe et le mettre à jour couterait pas moins de… 100 000 euros. Cela veut en effet dire changer les cartes d’acquisition et les logiciels qui sont derrière.

La clean room doit pouvoir « s’adapter à n’importe quel environnement »

La clean room doit être capable de fonctionner dans n’importe quel hôpital du GHT. Elle doit « donc s’adapter à n’importe quel environnement et n’importe quel hyperviseur ». Elle est stockée dans un lieu sûr, en dehors du réseau et peut être déployée rapidement dans n’importe quel hôpital du GHT. De plus, elle doit être « utilisable par les informaticiens hospitaliers », pas forcément par des spécialistes.

L’ambition est « redémarrer en moins de 48 h et tenir quelques semaines », voire quelques mois si besoin le temps que les autorités puissent mener leur enquête et que les correctifs soient mis en place. La clean room a déjà été testée sur site, avec succès, mais il s’agissait d’un exercice, pas d'une réponse à une vraie cyberattaque. La clean room ne se substitue pas à un PRA (plan de reprise d’activité), elle vient le compléter, nous expliquent les intervenants.

La clean room n’était pas physiquement présente lors de la présentation, mais elle avait été dévoilée lors des journées régionales de la sécurité des systèmes d'information de santé à l’hôpital d’Avignon en novembre dernier :

Photo lors de la présentation du projet à l’hôpital d’Avignon
Photo lors de la présentation du projet à l’hôpital d’Avignon

150 000 euros la clean room, avec l’espoir d’arriver à 100 000 euros

Le prix actuel du matériel d’une clean room est de 150 000 euros, mais les responsables « espèrent à terme avoir une version à 100 000 euros environ ». C’est une somme certes, mais il faut se rappeler que la clean room est mutualisée entre plusieurs hôpitaux et reste toujours moins cher que le doublement d'un système informatique.

Si le projet fonctionne correctement, il pourrait intéresser d’autres Groupement Hospitalier de Territoire. Le GHT du Vaucluse pourrait aussi décider de s’équipe de plusieurs clean rooms pour faire face à des jours difficiles. Si pour le moment le GHT n’a pas été la cible d’attaques multiples, cela pourrait arriver.

Commentaires (19)

votre avatar
Ben voilà ils ont un PCA / PRA maintenant, plus qu'à faire une petite analyse de risque, des politiques, et de les appliquer :p
votre avatar
Vu comme ça, ça donne juste l'impression d'être une armoire rack avec des serveurs prêts à l'emploi en cas de besoin.
votre avatar
Ouai en tout cas ya un réel effort sur le marketing 🙄
votre avatar
T'as oublié les roulettes.
votre avatar
Serveurs, SAN et switchs visiblement.
Après c'est le côté "utilisable par le personnel de l'hopital", genre, celui qui s'est fait piraté ...
OK c'est "moins cher" mais pour peux que les gars soient assez mauvais tu flingues dans la foulée ta solution "Clean Room".

Très honnêtement, ils devraient budgéter (réparti sur X hosto) 1 ou 2 gars, genre des vrais informaticiens / sécu pour mettre en placer et gérer la Clean Room.
Tu prends pas les pintres qui se sont fait avoir pour gérer la crise, surtout si c'est pas leur cam, ce qui semble être le cas de beaucoup d'entre eux de ce que je comprends. OK c'est pas donné, mais dans ces cas là tu mutualiser les DSI d'hosto pour avoir la masse critique qui te permets d'avoir des spécialistes.
votre avatar
Serveurs, SAN et switchs visiblement.
Oui, c'est ce que j'ai cru voir aussi. Après, pour le prix, je ne m'offusque pas trop. C'est pas donné, mais ce n'est pas hors de prix non plus. Le matériel coûte cher, comme il est mutualisé et doit répondre à plusieurs besoins, il faut forcément prévoir de la marge et le surdimensionné par rapport au besoin réel en cas d'utilisation. Et ne pas oublier les licences logiciels (hyperviseur, base de données, OS, ...).
Très honnêtement, ils devraient budgéter (réparti sur X hosto) 1 ou 2 gars, genre des vrais informaticiens / sécu pour mettre en placer et gérer la Clean Room.
Et qui fasse de la supervision. Il y a beaucoup de choses de détectable.
Tu prends pas les pintres qui se sont fait avoir pour gérer la crise, surtout si c'est pas leur cam, ce qui semble être le cas de beaucoup d'entre eux de ce que je comprends
+10000.

Bon, ils font parti de l'équation (c'est eux qui connaissent le système) et sont donc nécessaire pour une remise en place d'un SI. Mais il est impératif qu'ils soient accompagnés. Sinon... le nouveau système risque vite de se faire pirater comme l'ancien...
votre avatar
J'imagine que le système n'est jamais connecté à Internet... Si ?
votre avatar
Pour 150k€ c'est livré avec un camion ? Au départ j'imaginais un container maritime sur un camion
votre avatar
Non, sur une palette. Il suffit d'un transpalette pour l'installer. :langue:
votre avatar
C'est quand même cocasse de se dire que donc avant ces hôpitaux n'avaient même pas de spare ?

Parce que bon, faire des sauvegardes régulières (préférablement hors ligne d'ailleurs) et pouvoir les restaurer dans des temps "adéquats", c'est un peu le niveau 0 du PCA / PRA...
Et que donc, avoir des serveurs sur lesquels restaurer (ou une hors prod à la limite), ça fait aussi 40ans que ça doit être dans n'importe quel bouquin du "plan de prévention pour les nuls".
votre avatar
Quelle source pour affirmer qu'ils n'avaient pas de spare ?

J'adore la propension à prendre les DSI des hopitaux pour des branques alors qu'ils font avec les moyens du bord. Pour rappel un DSI ne décide pas de son financement.

Je précise que je ne suis pas DSI dans un hopital à toutes fins utiles.
votre avatar
Si je pose la question c'est bien que je n'assume pas ?
Tu as les même biais que ceux que tu vois chez les autres.

Mais sans contexte nous n'avons AUCUN moyen de savoir quelle est l'utilité de ce "rack sur roulette" et ce qu'il contient, ni le délai pour le transférer ou l'activer sur site finale.

Juste qu'avoir un rack qui se déplace sur site VS une restauration sur place, même sur l'infra existante : Je ne comprends pas bien l’intérêt, d'où ma question.
Parce que des "cold room" ou "warm room", ça existe aussi depuis des dizaines d'années, et c'est le B-A-BA des infra critique, ce qu'est un hôpital ? Et j'ai jamais vu ça sur roulette, à part pour des sites "annexes" ou "avant" l’avènement des lignes hauts-débits, qui permettent de transférer les backup, justement.
votre avatar
Dis comme ça, ça paraît simple. Mais pour info, si tu as du spare et de belles sauvegardes toutes fraîches hors ligne faites juste avant l'attaque, tu ne peux pas te contenter de les restaurer et de tout relancer. L'infra est souvent compromise depuis des semaines avant l'attaque et peut être truffée de backdoors qui seront remontées avec les sauvegardes. Et c'est ce qui est long dans l'affaire, c'est de tout nettoyer avant de réutiliser.
votre avatar
Je rappelle, à toutes fins utilises que la sécurité ne doit pas compromettre la disponibilité, sinon ce n'est plus de la sécurité.

On isole physiquement du matériel du réseau. Très bien.
Qu'en est-il de l'accès aux données ? Par nature, le système n'étant pas connectées, il n'y a soit pas de données, soit des anciennes (et dans ce cas le transfert de données a pu apporter une compromission).

À quoi peut bien servir un système informatique hospitalier sans les dossiers des patients ?
S'il s'agit simplement de saisir des choses pendant l'indisponibilité du système principal : sont-elles récupérable sur le système d'origine ? Pour que la vocation généraliste se réaliste, il faudrait alors une compatibilité assurée avec les systèmes de tous les hôpitaux : j'en doute.

Ayant plus de questions que de réponses, je dois certainement ne pas comprendre la finalité réelle de ce système, au-delà du marketing pompeux et du budget gonflé.
votre avatar
À quoi peut bien servir un système informatique hospitalier sans les dossiers des patients ?
Le SI d'un hopital ne gère que les dossiers des patients ?
De plus pour ce que j'en ai vu recemment, certains hopitaux conservent le format papier en doublon
votre avatar
Une version de secours non-basées sur l'informatique me semble une démarche tout à fait saine, effectivement, mais cela n 'est pas le cadre de cette salle isolée qualifiée de "sécurisée".

Du coup, si le SI d'un hôpital ne fait que gérer les données des patients, et si on part du principe de l'isolation présentée comme de la "sécurité" (empêchant les transferts), je persiste avec mes questions relatives à l'utilité de ce système isolé…
votre avatar
Je suis informaticien au sein d'un SI d'hôpital. Je vois mal comment le système cité plus haut peut fonctionner et être interopérable entre tous les Hôpitaux membres du GHT (sachant que chaque hôpital a mis en place il y a des années "l'informatique" à sa façon dans chacun des hôpitaux membres du GHT > ce qui crée de grosses disparités Software entre structures).
Sans parler d'incompatibilités entre les principaux hyperviseurs du marché (puisque, entre chaque hôpital membre du GHT de ma région, je doute que nous soyons tous basés sur la même solution).
Quand est-il du domaine Active directory qui sera utilisé pour ce mode de fonctionnement dégradé ? Les "48H" de mise en place de la "clean room" comprennent la mise en place d'un Active directory flambant neuf ? En tout point identique pour que 50 postes du parc informatique puissent se connecter sur le bousin ? (qui n'est qu'une baie serveur/réseau compacte et mobile).
Ou sinon, je pars du principe que tous les hôpitaux doivent avoir un parc d'ordinateurs "dormant" entré dans le domaine "clean-room" afin de pouvoir se connecter lorsque celle-ci est mise en place.
Aussi, être membre d'un GHT ne veut pas dire forcément utilisation du même DPI (dossier patient informatisé) et les mêmes progiciels en lien avec les différents services que constitue un hôpital.
En gros, c'est du vent. (il reste le point du serveur de messagerie utilisé, le systéme de login (avec carte sécurisée, etc etc)
votre avatar
Ton témoignage est intéressant. Tu dis que ce qui est décrit ici n'est pas exploitable chez vous parce que chez vous, chaque hôpital a ses solutions propres.

Remarque : tu parles d'hyperviseurs et d'incompatibilités, mais la solution a l'air d'avoir pris cette contrainte en compte :
Elle doit « donc s’adapter à n’importe environnement et n’importe quel hyperviseur ».
Mais si vous êtes d'une attaque informatique par rançongiciel, vous faîtes comment pour redémarrer et ça prend combien de temps ?
Je ne parle pas de la solution très dégradée avec le repli sur du tout papier.
votre avatar
Passons le problème que pourrait représenter le souci d'hyperviseur différent, tant que les serveurs "applicatifs" essentiels tournent et que les celle-ci puissent s'y connecter, c'est le principal.
Nan, plutôt, le gros du problème serait le domaine AD sur lequel les postes se connectent.
A moins que les utilisateurs utilisent les PC en mode comptes locaux ?
J'imagine que la messagerie interne à l'hôpital n'est pas prise en compte car non-essentielle ? Quid de la solution utilisé ? Exchange ? Zimbra ? Hybridation exchange ?
Oui, l'hôpital où je travaille n'utilise pas les mêmes outils/logiciels que l'hôpital "maître" du GHT. Car à part quelques progiciels communs, chaque hôpital a le choix de la solution pouvant être mise en place (solution toutes référencées dans des marchés publique).
Comment faisons-nous si l'hôpital est attaqué ? On prie pour que les sauvegardes Veeam ne soient pas touchées (a voir le niveau d'ancienneté des sauvegardes validés). Si c'est le cas, procédure dégradée pour tout l'hôpital (En gros, en se remet au papier). Aussi, nous avons prévu quelques postes hors domaines/réseau pouvant être connectés en 4G si vraiment la catastrophe venait à arriver

Des hôpitaux développent une « clean room » mutualisée pour contrer les cyberattaques

  • À défaut de moyens financiers, les hôpitaux ont des idées

  • But de la clean room : « fonctionner rapidement après la crise »

  • C’est l’argent qui dirige le monde… et les mises à jour

  • La clean room doit pouvoir « s’adapter à n’importe quel environnement »

  • 150 000 euros la clean room, avec l’espoir d’arriver à 100 000 euros

Fermer