Vincent Templier est RSSI du CHU de Montpellier, ainsi que RSSI et DPO du GHT Est-Hérault et Sud-Aveyron qui regroupe 9 établissements de santé dans l’Aveyron et dans l’Hérault. Nous avons retranscrit son retour d’expérience de Serenety, notre offre de Cyber Threat Intelligence. L’objectif de cet entretien est d’apporter des informations sur la manière dont un établissement de santé peut organiser sa sécurité grâce au service Serenety et mettre en avant ce que le service apporte en termes de gestions de risques, de prévention des attaques et de suivi des besoins réglementaires.
Retrouvez ce retour d’expérience en vidéo, dans le webinar « Données de santé : le jour où mon coeur s’est arrêté de battre »
Pourquoi avez-vous choisi de vous intéresser à la Cyber Threat Intelligence ?
« Je suis avec la casquette RSSI pour vous partager le retour d’expérience que nous avons de Serenety depuis 2021. Notre objectif était d’y voir un peu plus clair sur les potentielles fuites de données qui circulaient sur toutes les couches d’Internet.
Il y a eu pas mal de cibles dans le monde hospitalier. À la suite d’une importante fuite de données de santé émanant d’un groupement de laboratoires dans l’ouest de la France… nous nous sommes dit qu’il fallait faire attention et que nous avions peut-être des informations qui avaient fuitées et peut-être été récupérées.
C’est pourquoi, nous avons voulu faire appel à une société spécialisée sur le sujet. Nous avons donc testé le service Serenety, sous forme d’une période de test gratuite.
Le premier constat était rassurant, car nous avions peu d’informations disponibles sur Internet (quelques identifiants et mot de passe dans la nature, mais avec notre politique de changements de mots de passe, ils étaient obsolètes). Nous avons aussi trouvé quelques failles critiques sur l’un de nos portails. Nous avons fait remonter ces alertes au CERT santé qui est intervenu auprès de l’éditeur pour bénéficier d’un patch rapide. Il s’agissait d’un portail d’imagerie contenant des données très sensibles. Il fallait absolument couvrir ce risque.
Nous avions au préalable fait appel à une autre société pour effectuer un audit périmétrique de surface, et ils n’avaient pas identifié cette faille. Nous avons même failli demander un remboursement ! Cette faille n’était pas non plus dans le rapport de Cyber Veille, c’est nous qui l’avons fait remonter à Silène.
Ces alertes “nous ont ravis” et le retour d’expérience global de cette phase d’évaluation était très intéressant. Nous avons donc très vite contractualisé à travers le marché CAIH.
Comment Serenety s’insère-t-il dans votre gestion quotidienne ?
Nous avons choisi de prendre l’offre sur toute la globalité du groupement du territoire. L’objectif était d’avoir une vision globale et pas uniquement sur le CHU Montpellier.
Nous avons référencé l’ensemble des noms de domaines, des adresses IP publiques, et des mots clés. Ensuite, XMCO a défini les différents périmètres correspondant à chacune des entités du GHT dans le portail. Le CHU de Montpellier est super administrateur, car nous sommes le site support pour l’ensemble des autres sites. Cela me permet de recevoir directement toutes les alertes sur le portail et par mail.
Les alertes peuvent être simples, comme une création de nouveaux noms de domaine. Mais Il y a également des alertes sécurité plus critiques. Nous pouvons définir des référents sécurité sur le portail. De notre côté, chaque établissement de santé qui dépend du territoire a des référents sécurité en local et les alertes sont directement envoyées à ces référents et moi-même.
Il y a une bonne notion d’autonomie sur le portail : une fois que le référent a traité l’alerte ; il peut l’indiquer, ce qui me permet d’avoir un suivi global et à défaut de pouvoir relancer si ce n’est pas fait. Cela nous aide beaucoup et c’est bien pensé au niveau collaboratif.
C’est d’autant plus important que nous avons des sites totalement différents, voire des établissements qui sont différents (le CHU de Montpellier est constitué de 8 sites et il y a après 9 établissements de santé qui sont autonomes qui ne dépendent pas du CHU de Montpellier. Nous sommes uniquement leur site de support). Ce découpage au niveau du portail est très intéressant et il nous permet d’avoir une gestion au quotidien assez efficace.
J’identifie un axe d’amélioration, celui de pouvoir exporter en CSV la liste de tous mes assets, ce qui me permettrait d’utiliser uniquement le portail comme référentiel de tous mes assets qui sont surveillés. Actuellement, je suis obligé de comparer ce que j’ai en local avec ce qu’il y a sur le portail. Cela m’arrive qu’il m’en manque en local ! C’est plutôt rassurant quelque part, mais ce n’est pas pratique de devoir le faire à la main. Ce serait dommage de dire que tout est parfait, autrement les développeurs pourraient s’arrêter.
Que pensez-vous du portail Serenety ?
L’un des avantages c’est que nous sommes libres de rajouter des acteurs sur les différents périmètres. Nous pouvons définir leur niveau d’action (s’ils peuvent juste voir les alertes ou plus). Nous sommes complètement autonomes et n’avons pas besoin d’appeler le support pour pouvoir changer nos périmètres.
Le portail nous permet d’avoir une organisation au niveau du process de gestion et de contrôle, il y a une forme de notion de contre-audit.
Un avantage, concerne la possibilité de rajouter un asset qui doit être exposé sur internet, de demander à XMCO de lancer leur moulinette, avant que cet asset ne soit disponible au grand public. C’est bénéfique, car au lieu de le mettre sur internet et d’attendre de recevoir un audit externe, nous pouvons anticiper les problèmes potentiels et éviter des failles.
Les tarifs sont-ils adaptés à votre structure ?
Si on compare le tarif qui était donné sur la partie périmétrique (parce que finalement Serenety se retrouve sur une analyse périmétrique des failles potentielles, ce n’est pas de l’audit interne, ce n’est que de la surface) aux tarifications que j’avais chez des concurrents connus de la place, on peut dire que Serenety couvre la totalité de mes sites pour même pas le prix qu’une prestation couvrant un seul site chez un autre acteur ! Donc c’était très rentable pour nous.
Pouvez-vous nous en dire plus sur la période de test et la mise en place de Serenety ?
La période de test a été très rapide et très efficace. La phase de transition entre le POC et la mise en production sur l’ensemble du GHT a duré moins de 2 mois. Il nous fallait quand même le temps d’appréhender la qualité du POC, mais dès qu’XMCO a trouvé les failles sur le portail en question, nous avons vu tout de suite notre intérêt.
Quelles sont les différences avec Silène ?
Je pense que ce n’est pas comparable : c’est comme si on comparait une Dacia Spring avec une Tesla model 3, il y a une différence entre les 2 même si les 2 sont des voitures électriques.
Serenety va plus en profondeur que Silène et remonte toutes les failles en temps réel. Silène, ressemble plutôt un NMAP amélioré : les ports extérieurs sont scannés, il n’y a pas de tests approfondis ni de recherche sur le dark web (à ma connaissance).
J’utilise toujours Silène et j’apprécie le service, selon moi ils sont complémentaires : il ne faut pas se dire on a Serenety, on met à la poubelle Silène, ça serait une énorme erreur, d’autant plus que c’est gratuit.
Est-ce que Serenety a su répondre aux attendus des différents programmes de subventions, comme le programme OPEN ?
À la mise en place de Serenety, il y a un balayage périmétrique de surface qui est réalisé, donc c’est l’équivalent d’un audit périmétrique. Ce dernier nous donne une vision globale de notre surface d’attaque et des risques associés. C’est donc intéressant et il a été validé dans le cadre du programme H open.
Le programme H open ne reconnaît pas la surveillance en mode Silène, le rapport ne peut être considéré comme une étude périmétrique suffisante.
Le mot de la fin ?
Notre expérience est positive, elle nous permet de régler plusieurs soucis en continu !
Cet retour d’expérience vous a plu ? Vous souhaiteriez en savoir davantage pour mettre en place sur stratégie de Cyber Threat Intelligence avec Serenety by XMCO ? Contactez-nous !