Greebone - Gestion des vulnérabilités dans les hôpitaux

Qui n'a pas remarqué l'année dernière ? La retentissante attaque de pirates informatiques contre le centre hospitalier universitaire de Düsseldorf. Pendant plus d'une semaine, la clinique n'a pas pu accueillir de nouveaux patients ou effectuer des opérations. Les pirates ont accédé au réseau de la clinique via une faille déjà connue et ont pu prendre le contrôle de systèmes importants et les crypter. Si la clinique a pu reprendre son activité normale au bout d'une semaine, c'est uniquement parce qu'elle a été attaquée par erreur et n'était pas la cible réelle des pirates. Ceux-ci voulaient en fait viser l'université Heinrich Heine. Après avoir appris ce qui était réellement attaqué, les assaillants ont remis les codes pour le décryptage et ont mis fin à l'attaque.

Toutefois, tous les cybercriminels n'ont pas ce niveau d'éthique de ne pas attaquer les cliniques. Le 10 février 2016, l'hôpital Lukas de Neuss a été attaqué. L'informatique n'a pas pu fonctionner pendant plus d'un mois. Les processus de l'hôpital ont été fortement perturbés.

Une étude rédigée par trois chercheurs en sécurité d'Alpha Strike Labs, de l'Université de la Bundewehr et de Limes Security, qui sera publiée dans son intégralité en mai lors de la Cycon de l'OTAN, montre que sur un scan de 1500 hôpitaux allemands, 36% étaient vulnérables. Plus de 900 vulnérabilités critiques ont été identifiées. Les hôpitaux relativement petits n'étaient pas moins sûrs en soi, les grands hôpitaux étaient même souvent plus vulnérables que les petits. Cela signifie que les hôpitaux qui effectuent plus de 30.000 traitements par an et qui sont classés par l'Office fédéral de la sécurité dans la technologie de l'information (BSI) comme faisant partie de l'infrastructure critique (KRITIS) sont exposés à un grand risque.

Par exemple, des instances de Windows Server 2003, qui ne reçoivent plus aucune mise à jour de sécurité de Microsoft depuis 2015, étaient toujours actives. Une invitation pour tout attaquant, car les failles de sécurité ouvertes ne peuvent pas être éliminées par des mises à jour du système d'exploitation.

Souvent, de nombreux hôpitaux ont certes un budget important pour les médecins, mais il ne reste que relativement peu de budget pour les services informatiques. Par conséquent, les départements informatiques sont en sous-effectif et ne peuvent souvent pas prendre de mesures importantes pour résoudre les problèmes structurels.

Le principal problème est de savoir où se trouvent les points faibles. Au fil des années, les réseaux, y compris ceux des hôpitaux, sont devenus de plus en plus grands et difficiles à gérer.

Dans les hôpitaux, presque tout a été numérisé. De la simple perfusion aux appareils qui surveillent les signes vitaux, en passant par les gros appareils comme les appareils de radiographie, les robots chirurgicaux ou les tomographes à résonance magnétique. Les dossiers électroniques ne doivent pas non plus manquer à l'énumération, car ils contiennent des détails extrêmement intimes sur une personne et pourraient éventuellement être utilisés pour faire chanter quelqu'un. Que ce soit l'hôpital lui-même, si les données ont été cryptées, ou le patient, afin que d'éventuels détails croustillants ne soient pas publiés. De plus, si les informations ne sont pas suffisamment protégées contre un accès non autorisé, des sanctions importantes peuvent être appliquées en cas de violation du RGPD.

Pour obtenir une vue d'ensemble des points faibles existants et des solutions possibles pour les combler ou les atténuer par des mesures appropriées, un scanner de points faibles s'impose. Celui-ci peut non seulement établir une liste des actifs (appareils) existants, mais aussi les contrôler de manière autonome pour détecter les points faibles. Cela vous permet non seulement d'avoir une vue d'ensemble de tout ce qui existe dans le réseau, mais aussi de voir immédiatement où le bât blesse.

Il ne doit pas s'agir uniquement de failles de sécurité non corrigées, mais aussi de configurations erronées ou de mots de passe standard non modifiés. Les problèmes trouvés sont ensuite classés par catégorie en fonction de leur gravité et un rapport correspondant est généré.

L'analyse peut se faire de différentes manières. Par exemple, de l'extérieur vers l'intérieur, c'est-à-dire du point de vue d'un attaquant. Mais il est également possible d'effectuer un scan à l'intérieur de l'infrastructure afin de couvrir le plus grand nombre possible de systèmes.

Ces scans peuvent également être effectués automatiquement à intervalles réguliers afin d'être toujours à jour. Cela permet également de voir immédiatement si les modifications apportées jusqu'à présent ont eu un réel succès. Si, entre-temps, de nouveaux appareils sont intégrés dans le réseau ou si de nouvelles failles de sécurité sont connues, le scan est également étendu à ceux-ci, de manière entièrement automatique.

Nous travaillons ici en étroite collaboration avec le fabricant Greenbone Networks. Greenbone est une entreprise allemande fondée en 2008 à Osnabrück.

Le gestionnaire de sécurité Greenbone, qui est développé par Greenbone Networks, est en grande partie OpenSource (GNU GPL). La version OpenSource est connue sous le nom d'OpenVAS. Grâce à cette grande transparence, cette solution jouit également d'une grande confiance, car son fonctionnement peut être vérifié par tout un chacun.

Greenbone Security Manager peut analyser plus de 87.000 vulnérabilités différentes. La licence ne dépend pas du nombre d'IP dans votre entreprise, car elle est basée sur la performance du Greenbone Security Manager.

Par exemple, si vous avez 10.000 IP et que vous ne voulez analyser que 2.000 IP par jour, vous ne devez acheter une licence que pour 2.000 IP. Un avantage par rapport aux autres solutions disponibles sur le marché.

Le gestionnaire de vulnérabilités est disponible en tant qu'appliance physique, mais aussi en tant que machine virtuelle pour les hyperviseurs VM courants.

Si vous êtes intéressé par le gestionnaire de sécurité Greenbone et souhaitez obtenir une première consultation gratuite ou même un essai, vous pouvez nous contacter par téléphone, par e-mail ou via notre formulaire de contact.