La cyber-résilience, un processus d'amélioration continue

door nexuzhealth op 2.12.2024

Les cybercriminels s’attaquent non seulement au monde des entreprises, mais aussi au secteur médical. Les fuites de données ou cyberattaques dans les établissements de soins  sont une réalité amère. Mais cela va même bien au-delà des hôpitaux. Les pharmaciens, médecins généralistes et autres prestataires de soins  feraient bien, eux aussi, de renforcer la sécurité de leur infrastructure. Pour devancer les cybercriminels, nexuzhealth investit encore plus dans la sécurité. Mark Vanautgaerden, Chief Information Security Officer, et Valérie, Security & Privacy Officer, expliquent comment ils identifient les différents risques et quelles sont les mesures de sécurité prises par nexuzhealth.

2409-NXH_Summit-439x-1

Il existe bien sûr des exigences légales minimales, mais nexuzhealth va plus loin dans le développement de produits et les services connexes lorsqu’il est question de sécurité et de protection de la vie privée. « Tout d’abord, nous appliquons le CyberFundamentals un cadre de directives fondamentales, ou CyFun en abrégé, du Centre for Cybersecurity Belgium », précise Mark Vanautgaerden. « Grâce à l’évaluation des risques et à l’auto-évaluation qu’il propose, nous déterminons les principales priorités pour nous conformer à la NIS2 (directive sur la sécurité des réseaux et de l’information 2). En respectant la loi sur la cybersécurité et en atteignant au moins le niveau de sécurité de base, vous pouvez bloquer rapidement un peu plus de 80% des cyberattaques actuelles. 

Bien entendu, nous nous efforçons d’atteindre le niveau de sécurité le plus élevé en ne cessant de renforcer progressivement les mesures de sécurité. Comme nexuzhealth est en grande partie une entreprise de développement de produits, nous appliquons également le Software Assurance Maturity Model, ou SAMM en abrégé, de l’OWASP (Open Worldwide Application Security Project). 

Cela nous donne une orientation supplémentaire pour structurer et améliorer les processus de sécurité pour le développement de nos logiciels dans cinq domaines spécifiquement axés sur : la gouvernance, le design, l’implémentation, la vérification et les opérations. Nous nous approprions ainsi une culture de la sécurité des applications, ou AppSec en abrégé, qui garantit que nous introduisons toutes les tâches et tous les processus nécessaires au sein de nos équipes d’ingénieurs produits pour parvenir à un cycle de vie de  développement logiciel sécurisé (Software Development Life Cycle ou SDLC). »

« L’implémentation des priorités du CyFun et du SAMM au sein de nexuzhealth se fait en plusieurs étapes. L’équipe de direction définit d’abord les objectifs de haut niveau », explique Mark. « Ensuite, les experts et les expertes  de l’équipe de sécurité les traduisent en objectifs pratiques et préparent l’implémentation concrète. Les développeurs intègrent ces recommandations dans la feuille de route et les implémentent intégralement. Des tests sont alors réalisés pour vérifier si le risque a été éliminé ou tout au moins réduit, et une évaluation s’ensuit. Enfin, tout ce processus est relancé pour éliminer de plus en plus de risques. »

2409-NXH_Summit-443

Mark Vanautgaerden, Chief Information Security Officer 

Modélisation des menaces

La première étape pour créer l’application la plus sûre possible est le principe de « sécurité par la conception ». C’est ce que nexuzhealth applique grâce à la Modélisation des menaces. Lors de la modélisation des menaces, vous devez toujours commencer par définir correctement l’architecture de ce que vous voulez  créer. A partir de là, vous déterminez tout ce qui peut mal tourner, l’importance de ces risques et la manière de les gérer. Vous commencez donc déjà à rechercher activement les manquements dès la phase de conception. Cela permet de prévenir à un stade précoce les problèmes qui seraient autrement plus difficiles à résoudre ultérieurement ou qui entraîneraient des coûts élevés. 

En outre, nous procédons à une modélisation des menaces au cas par cas, même lorsque nous collaborons avec des tiers, avant de mettre quoi que ce soit en production.

Pour identifier les risques de sécurité dans une telle architecture, nous appliquons toujours au moins le modèle STRIDE. Avec ce modèle, nous recherchons les vulnérabilités potentielles qui pourraient permettre les risques suivants :

Spoofing

falsification d’identité

Tampering

manipulation de données

Repudiation

nier avoir fait quoi que ce soit

Information disclosure

fuites d’informations

Denial of service

interruption du service

Elevation of privilege

droits d’accès plus élevés

« Ensuite, nous identifions et testons également les risques de sécurité spécifiquement liés à l’utilisation de téléphones mobiles », poursuit Mark. « Pour ce faire, nous nous basons sur le Modèle MAS VS et le modèle MASTG de l’OWASP. »  « Et dernier point, mais non des moindres, nous procédons aussi à une modélisation des menaces qui pèsent sur la vie privée, pour laquelle nous utilisons le Cadre LINDDUN de DistriNet, un groupe de recherche de la KU Leuven », ajoute Valérie. 

Nexuzhealth classe et hiérarchise ensuite tous les risques découverts via l’approche DREAD:

  • Damage
  • Reproducibility
  • Exploitability
  • Affected Subjects
  • Discoverability

« Chaque menace se voit attribuer un score de risque, de sorte qu’il est r immédiatement possible de voir si le risque est faible, moyen, élevé ou critique. Les risques de sécurité critiques et élevés sont au moins réduits à des risques faibles ou moyens, et ce, aussi rapidement que possible. Une fois l’application construite, nous continuons à effectuer des scans automatiques que nous utilisons pour surveiller notre surface d’attaque externe, la nomenclature logicielle, l’utilisation correcte de Transport Layer Security (TLS) et les vulnérabilités récemment découvertes dans notre chaîne logistique. Pour suivre tous ces risques, leurs priorités et la planification des contre-mesures à prendre, nous utilisons DefectDoJo. »

Opérations de sécurité

Une fois que tout est opérationnel, l’équipe des opérations de sécurité entre en jeu. « Pour détecter toute utilisation abusive, voire même les mauvaises configurations, nous explorons chez nexuzhealth l’utilisation de Google SecOps et de Security Command Center », explique Mark Vanautgaerden. « Quelqu'un fait-il quelque chose qui n'est pas autorisé? Mettre à jour le logiciel à ce moment-là prend trop de temps. Le SOAR (Security Orchestration, Automation and Response) permet de réagir beaucoup plus rapidement et de fermer automatiquement certaines voies d'accès aux pirates. L’expérience montre que les attaques se produisent souvent en dehors des heures de bureau. Les pirates préfèrent travailler la nuit ou un jour férié, lorsque vous venez juste de vous asseoir  à table en famille. »

Piratage éthique

Enfin, nexuzhealth fait également appel à des pirates éthiques pour remédier aux éventuelles vulnérabilités. « Cela peut se faire, par exemple, par le biais du
 “pentesting” (également appelé test de pénétration ou d’intrusion). Un tiers indépendant peut alors, avec une autorisation préalable et dans un certain cadre, essayer de pénétrer dans un système, par exemple de manière systémique ou à l’aide de techniques d’ingénierie sociale », précise Valerie. « De plus, nexuzhealth dispose d’un programme de récompenses (bug bounty) qui fonctionne via la plateforme Intigriti. »
Topics: Hôpital Sécurité

Bekijk alle

Bekijk alle