Les services

Les principaux services du CERT Santé sont présentées sur cette page. Ce portail contribue à la mission de veille et d’alerte en publiant des informations sur les vulnérabilités les plus importantes concernant les composants les plus déployés au sein des établissements ainsi que des actualités concernant les menaces pesant sur le secteur.  Il partage également des fiches présentant des bonnes pratiques relatives à la prévention, à la gestion de crise et la réponse à un acte de cybermalveillance. 
 

Qualification des incidents et appui à la réponse

Le traitement des incidents reste de la responsabilité des structures de santé. L’accompagnement et l’appui mis en place par le CERT Santé dans le cadre de leur signalement consiste à :

  • Traiter le signalement sur le portail des signalements des évènements sanitaires indésirables et notifier au déclarant sa prise en compte ; 
  • Analyser et qualifier le signalement pour le compte des autorités compétentes ;
  • Apporter, si besoin, un accompagnement dans le traitement de l’incident de sécurité des systèmes d’information ;
  • Diffuser une alerte vers le ministère de la santé et de la prévention et/ou les autorités compétentes de l’Etat selon la nature de l’incident :

                               - le fonctionnaire de sécurité des systèmes d’information des ministères sociaux (FSSI), qui assure le pilotage du traitement en cas d’incident de sécurité majeur ;
                               - la direction générale de la santé (DGS) via le CORRUSS (Centre opérationnel de réception et de régulation des urgences sanitaires et sociales), dans le cas d’un incident ayant un impact sanitaire ;
                               - aux agences sanitaires dans le cas d’un incident majeur impactant la prise en charge des patients ; 
                               - à l’ANSSI, en cas d’incident concernant une structure relevant de dispositifs spécifiques (OIV ou OSE), ou en cas d’incident majeur de cybersécurité pouvant impacter d’autres secteurs ;  
                               - à terme, à la CNIL en cas d’impact sur les données à caractère personnel.

Le CERT Santé apporte son appui aux structures dans le cadre de la réponse à un incident : 

  • Mise à disposition de fiches réflexes (ex : maliciel, hameçonnage ou défiguration de site Web) ou de recommandations de mesures de remédiation correspondant à la nature de l’incident (ex : changement de mots de passe, mise en liste noire d’adresses de messagerie, blocage de protocoles) ;
  • Proposition de mesures de confinement complémentaires au cours d’un premier entretien (isolation des sauvegardes, de l’Active Directory, désactivation massive de comptes, etc…) ; 
  • Assistance à l’identification de la menace et le scénario complet de la compromission (acquisition et analyse de journaux d’évènements et de preuves numériques, analyse de codes malveillants, de fichiers infectés, recherche du « patient 0 » de l’attaque, etc…) ; 
  • Proposition de mesures de remédiation adaptées (désinfection des systèmes compromis, suppression des fichiers malveillants, correction des vulnérabilités exploitées, etc…) ; 
  • Orientation vers un prestataire cyber dans le cas d’une demande d’intervention sur site.

Présentation de l'activité de réponse à incidents :

Audit de cybersurveillance

Initialement pour des besoins de protection de ses systèmes, l'ANS a développé un service de cyber-surveillance. Ce service recherche et détecte de façon préventive les vulnérabilités sur les domaines exposés sur Internet.
Ce service est proposé prioritairement aux GHT.

Les objectifs du service
Le service de cyber-surveillance permet, pour un périmètre de domaines exposés sur Internet défini, de :

  • cartographier et déterminer la surface d’attaque d’un système d’information ;
  • détecter de manière pro-active les vulnérabilités qui affectent le système d’information.

Le rapport d’audit de cyber-surveillance
A l’issue des investigations et de l’analyse des résultats, un rapport est délivré. Celui-ci est destiné à la direction et au responsable de la cybersécurité.
Le rapport de cyber-surveillance présente :

  • le périmètre de l'évaluation avec la liste des domaines et sous-domaines, avec une cartographie des systèmes détectés ;
  • une synthèse managériale permettant de prendre rapidement connaissance du niveau de sécurité constaté et de la typologie des vulnérabilités ;
  • une synthèse technique présentant :

                           -    les vulnérabilités détectées par niveau de criticité ;
                           -    un plan d'actions de remédiation hiérarchisé ;
                           -    le détail des vulnérabilités identifiées avec pour chacune :
                                               la criticité,
                                               le type de vulnérabilité (ou catégorie, telle que usurpation d'identité, défaut de configuration, …),
                                               le SI affecté,
                                               la description de la vulnérabilité,
                                               la recommandation associée en vue de sa correction.

Le rapport issu du service de cyber-surveillance de l’ANS est reconnu pour l’atteinte du prérequis 2.5 du programme HOP’EN (Cyber sécurité : réalisation d’un audit externe de cyber-surveillance) ou PS2.2 du programme SUN-ES (Cyber sécurité : réalisation d’un audit externe de cyber-surveillance).
Les demandes d’audit se font désormais via une interface de commande d’audit dédiée accessible à l’adresse suivante : https://cybersurveillance.esante.gouv.fr/ . Concernant les GHT, la demande d'audit doit concerner l'ensemble des établissements du GHT.
Pour y accéder, il faut disposer d’un compte utilisateur créé par le CERT Santé. La demande de compte doit être adressée à cyberveille@esante.gouv.fr en précisant le nom de l'établissement, nom/prénom/courriel/ n° de téléphone mobile du RSSI référent.
Un guide d'utilisation de cette nouvelle interface est disponible ici. 

Le message de demande doit préciser les informations suivantes concernant le RSSI et l’établissement concerné :
-    Nom; 
-    Prénom;
-    Numéro de téléphone;
-    E-mail;

-    Nom de l’établissement; 
-    Adresse;
-    Région;
-    Numéro FINESS/SIRET.

Lors de l'enregistrement de la demande dans la plateforme de commande d'audits, le demandeur doit renseigner le nom de l'établissement tel qu'il est désigné dans la base oSIS. Cela est d'autant plus important pour les GHT car les résultats d'audit doivent être remontés dans OPSSIES.
Pour encadrer la réalisation de l’audit par l’ANS, une convention est mise en place. Elle précise le périmètre de l’audit, le calendrier de réalisation et les points de contact pour faciliter les échanges.
Le rapport est communiqué dans un délai de quinze jours à la suite des travaux. Si toutefois des vulnérabilités critiques étaient identifiées au cours de l’audit, celles-ci seront notifiées avant l’envoi du rapport.
Seuls les services du HFDS et les personnes impliquées dans l’activité de cyber-surveillance au sein de l’ANS ont connaissance du rapport d’audit.
La charte du service de cybersurveillance :

Vidéo de présentation du service

Veille proactive

Dans le cadre de la gestion des incidents de sécurité, le CERT Santé est régulièrement confronté à des structures de santé faisant la découverte de la compromission d’un de leurs serveurs exposés sur Internet. Ainsi, le CERT Santé mène depuis 2020 une activité de veille proactive en sources ouvertes. 
Constatant une augmentation des actions malveillantes liées aux accès à distance dès le début de la pandémie COVID-19, le CERT Santé a constitué avec l’aide de l’ANSSI une cartographie des structures de santé présentes sur Internet (adresse IP, nom de domaine, principales technologies utilisées). Cette base enrichie au fil de l’eau permet au CERT Santé d’alerter directement par message électronique la structure lorsque l’un de ses systèmes est potentiellement vulnérable ou compromis. 
Ces alertes peuvent être classées en trois grandes catégories de menace telles que présentées ci-dessous. Dans son message d’alerte, le CERT Santé précise les mesures de correction/remédiation à mettre en œuvre par la structure soit pour ne pas être exposée à une exploitation malveillante d’une vulnérabilité, soit pour stopper une activité malveillante en cours et s’assurer qu’il n’est pas possible de la réactiver.

Vulnérabilités critiques potentiellement présentes sur des services exposés sur Internet
Certaines vulnérabilités critiques font l’objet d’une exploitation active sur Internet. Dans ce contexte de menace importante, le CERT Santé alerte systématiquement les établissements désignés opérateurs de services essentiels ainsi que les principaux groupes de cliniques privés. Quand le CERT Santé a connaissance de la présence de la vulnérabilité sur le SI exposé sur Internet par un ES ou un ESMS, il alerte la structure concernée en lui précisant l’adresse IP et le nom de domaine concernés.

Compromission potentielle ou avérée de comptes ou de serveurs
Le CERT Santé est régulièrement informé de la compromission potentielle ou avérée de comptes (messagerie, RDP, VPN, etc…), de serveurs (web, messagerie, VPN, etc…) concernant des ES ou des ESMS. L’alerte envoyée à la structure précise l’adresse IP, le nom de domaine et le service concernés.

Services sensibles exposés sur Internet
La catégorie d’alerte « Service exposé » concerne la mise en garde des structures sur l’accessibilité de certains services potentiellement « sensibles » à partir d’Internet. Ces services servent souvent de porte d’entrée pour les attaquants. Il est alors recommandé aux structures de limiter leur exposition en ligne et de réduire l’ouverture de ports au strict nécessaire. Il s’agit principalement de services Windows, des ports RDP (administration d’un poste Windows à distance), mais aussi les services DICOM (standard international pour la gestion informatique des données issues de l'imagerie médicale). Cela concerne également les serveurs Web (IIS) présentant des vulnérabilités publiques spécifiques aux technologies du Web (injection SQL, faille XSS, attaques IDOR, etc…). L’alerte transmise précise l’adresse IP, le nom de domaine et le service concernés.

Présentation du service

Améliorer la sécurité de la messagerie

L’utilisation de courriels malveillants (technique de l’hameçonnage) est très développée par les attaquants pour chercher à compromettre un SI. Le CERT Santé propose aux structures de tester les règles de sécurité de leur serveur de messagerie avec un service en ligne. Ce service a pour but d’identifier les améliorations à apporter dans la configuration des règles de sécurité de la messagerie pour réduire le risque de manipulation de contenus malveillants par les utilisateurs. Il permet de vérifier que la politique de contrôle des messages et de leur contenu a pris en compte les principales menaces issues de l’émetteur, de métadonnées du message (en-tête, encodage, découpage en plusieurs parties, etc…), d’une pièce jointe (spam, virus, etc…), d’une URL (hameçonnage), etc. … Le service contient plus de 170 points de contrôle.
Pour bénéficier du service, veuillez faire votre demande en envoyant un mail à cyberveille@esante.gouv.fr.

Veille sur les menaces de cybersécurité et sur les bonnes pratiques

Il s’agit du portail cyberveille-santé qui publie principalement des informations sur :

  • Des vulnérabilités concernant des solutions déployées chez les bénéficiaires du CERT Santé et dont le score CVSS est supérieur ou égal à 7 ;
  • Des activités malveillantes pouvant impacter les bénéficiaires du CERT Santé ;
  • Des indicateurs sur les incidents déclarés par les bénéficiaires et sur les CVE publiées sur le portail ;

Le portail contient un espace privé dédié aux bénéficiaires. Il peuvent disposer d’un compte leur permettant de réaliser une veille ciblée et de recevoir automatiquement par message électronique les résultats de cette veille à une fréquence définie.