Le CERT Santé rappelle les bonnes pratiques liées à la mise œuvre à distance de la télé-maintenance

Depuis Avril 2021, plusieurs incidents de sécurité en lien avec des outils de prise en main à distance installés par des prestataires ou des structures de santé (teamviewer, logmein, ....) ont été déclarés au CERT Santé.

Ces outils sont installés pour faciliter les tâches d’administration et ne font pas toujours l’objet d’une supervision adaptée. Ils sont parfois configurés pour rester ouvert en permanence et avec la possibilité d'ouvrir une session sans accord préalable de l’utilisateur.

Afin de limiter le risque potentiel d’exploitation malveillante de cette pratique, le CERT Santé propose de mettre en œuvre les mesures de sécurité présentées ci-après.

Il faut privilégier l’accès à distance à travers un accès VPN lorsque celui-ci est mis en œuvre et interdire l’utilisation dédiée d’outils de prise en main. Pour ce faire, il est recommandé d’utiliser les options du proxy sortant qui permet souvent de filtrer ce type d'utilisation (soit par les catégories, soit par la vérification TLS/SSL). Dans le cas où un prestataire ne souhaite pas respecter ces règles de sécurité, le CERT Santé peut apporter son appui pour justifier la demande de changement.

Pour les accès VPN de prestataire, le CERT Santé recommande d'utiliser des comptes locaux sans lien avec l'Active Directory avec une authentification à deux facteurs. L’accès du prestataire doit être filtré pour accéder aux seuls équipements dont il a la maintenance. Il est recommandé de gérer ce type d’accès au travers d’un bastion. Le CERT Santé peut apporter son appui pour créer un bastion avec la solution open- source "guacamole" par exemple.

En l’absence d’accès VPN et si la télémaintenance à distance est indispensable, alors il est recommandé de créer un point de "rebond" dédié à cette activité qui sera le seul à pouvoir utiliser un outil de prise en main à distance sur le SI (droit firewall et proxy sortant). Cette machine devra respecter plusieurs règles importantes:

- Le système d'exploitation ne doit pas être géré par l'Active Directory ;

- Le système d'exploitation doit être à jour des patchs de sécurité et il peut être intéressant d'installer un outil du type sysmon au auditd afin d'avoir des traces détaillées sur le système ;

- Le rebond doit être dans une zone filtrée et n'avoir accès qu'aux systèmes qui ont besoin de télémaintenance ;

- Une règle firewall n'autorisera l'accès télémaintenance que durant les heures ouvrables, de plus l'accès en sortie vers internet sera limité aux adresses IP nécessaires/ ou à la catégorie nécessaire au fonctionnement de la télémaintenance.

Voici les règles à respecter concernant l’outil de prise en main de la maintenance à distance :

- il doit être à jour de correctifs de sécurité ;

- il doit être lancé que lors d'un besoin de télémaintenance et désactivé dès la fin des opérations (pas d'exécution automatique au démarrage).

- il doit être configuré pour n'accepter que les connexions par validation manuelle de l'utilisateur qui gardera le contrôle visuel des actions durant la durée des opérations ;

- il doit générer des logs qui permettront d'identifier clairement qui s'est connecté (login), depuis où (adresse IP), l'heure, ainsi que la durée de la session. Ces logs doivent être gardé sur un délai de rétention légal (de préférence en les centralisant) ;

- il doit utiliser des protocoles sécurisés (chiffrement) et une authentification forte permettant au client d'identifier avec certitude la personne qui demande l'ouverture d'une session ;

Pour aller plus loin, le CERT Santé rappelle la publication du guide de recommandations de l'ANSSI qui détaille l'ensemble des mesures à respecter ainsi que le guide de la PGSSIS, ces documents sont disponibles en référence de ce bulletin.