Sécurisation et étanchéité des accès - CHU de la Martinique

1. Bonjour Gérald, pouvez-vous nous présenter votre poste et l’établissement dans lequel vous travaillez ?

Je suis Gérald Galim, responsable de la sécurité du système d’information du CHU de la Martinique.

Ma mission première en tant que RSSI est d’assurer la disponibilité, l’intégrité et la confidentialité des données et des accès pour l’établissement. J’ai également la charge des missions d’auditabilité.

Notre organisation interne suit les recommandations ministérielles et des commissaires aux comptes. Ma fonction de RSSI est ainsi rattachée à la direction générale et non à la DSI. 

Cela permet d’avoir un RSSI qui ne soit pas à la fois juge et partie. Ainsi, je peux alerter à la fois la DSI mais aussi la direction générale sur les problèmes qui pourraient se poser au niveau de la sécurité des SI.

Cela ne m’empêche pas de travailler en étroite collaboration avec la direction des systèmes d’information, et de faire le point chaque mois avec le RSI (Responsable du système d’information).

2. Qu’avez-vous mis en place au niveau sécurité globale ? Quelles sont les “bonnes pratiques” qui vous semblent essentielles pour protéger les données du CHU de la Martinique ?

Nous suivons les recommandations de l’ANSSI et du ministère de la santé. 

Ainsi, nous avons mis en place des solutions de bastion, de gestion de mots de passe et de recherche de vulnérabilité pour sécuriser les accès et les données. 

Nous avons également établi un processus de remédiation de notre Active Directory, conformément au programme CaRe que nous avons anticipé à la demande du GRADeS.

Nous avons ainsi procédé à l’élévation du niveau de sécurité de nos environnements Active Directory. Une étape essentielle puisque l’AD est l'ossature principale de tout système d’information. S’il venait à être touché, nous pourrions considérer que 90% du SI ne serait plus fiable.

3. Vous avez également fait le choix de mettre en place notre gestionnaire de mots de passe LockPass. Avant son déploiement, comment gériez-vous les mots de passe en interne ?

Avant la mise en place de LockPass nous utilisions une solution basée sur du KeePass, davantage orientée utilisateur final et non pas groupe d’utilisateurs.

Nous avions un besoin de trouver une solution qui permette la mise en commun de mots de passe, chose que nous ne pouvions pas faire avec KeePass.

Pour pouvoir contourner ce fonctionnement et partager des accès à des groupes d’utilisateurs il fallait nécessairement : 

1. Copier le fichier sur un espace partagé,
2. Transférer le mot de passe principal de ce fichier à plusieurs personnes.

Un fonctionnement qui nous obligeait à rogner sur la sécurité de ces accès pour assurer les besoins opérationnels des équipes.

Un process dangereux également dans le cas où un collaborateur qui aurait décidé de partir du CHU avec le fichier KeePass, serait parti en possession de l'ensemble des mots de passe du système d’information.

Aujourd’hui grâce à LockPass, quelqu’un qui quitte le CHU se voit retirer ses accès à l’outil ce qui révoque automatiquement ses accès aux mots de passe du système d’information.

En tant qu’administrateur je m’assure que l’on respecte bien ces prérequis de sécurité à savoir que toute personne qui ne serait plus en activité se verra retirer ses habilitations.

Au début de l’année 2023, plusieurs failles de sécurité révélées sur KeePass nous ont également fait réfléchir sur son utilisation et c’est à ce moment-là que nous nous sommes posé la question de changer de solution.

En comparant les différentes offres du marché, LockSelf s’est avéré être celle avec le plus d'avantages. Nous avions notamment le choix entre un hébergement On-premises ou en cloud privé avec la possibilité d’opter pour un environnement qualifié SecNumCloud par l’ANSSI.

Nous avons opté pour ce dernier qui offrait les garanties dont nous avions besoin en termes de sécurité et de disponibilité des accès, avec la possibilité d’utiliser nos mots de passe aussi bien via les navigateurs qu’en mobilité sur un téléphone.

4. Vous avez également fait le choix d’un environnement en Cloud Privé qualifié SecNumCloud pour héberger vos données. Pourriez-vous nous en dire plus sur ce choix ? Était-ce une obligation légale ?

Héberger nos données sur un cloud privé qualifié par les services de l'État nous permet une augmentation du niveau de sécurité par rapport à un hébergement On-premises. Ainsi, même en cas d’attaque et de chiffrement du SI nous ne subirons pas une indisponibilité de nos mots de passe.

Les avantages d’un hébergement en cloud privé SecNumCloud sont nombreux : 

• Un hébergement sécurisé et certifié par l’État

• Gain de temps considérable sur le déploiement et le maintien de la solution, les mises à jour se faisant automatiquement (contrairement à une solution On-premises)

• Garantie de sécurité des mots de passe même en cas d’attaque sur notre SI

Nous avons également opté pour la formule 3 ans d’engagement permettant une réduction du prix de l’outil et pour la tranquillité d’esprit !

5. Qui utilise la solution au sein de votre organisation ?

Nous avons souscrit à LockPass à l’échelle régionale.

Ainsi nous avons segmenté la solution en optant pour une sous-organisation par établissement de santé.

À l’échelle du CHU nous avons mis en place LockPass pour les équipes de la DSI.

Ainsi, l’ensemble des mots de passe “administrateur” de tous les environnements du CHU sont dans un espace sécurisé. Fini les fichiers Excel, l’envoi de mots de passe par mail ou tout autre mauvaise pratique en termes de sécurité.

Pour garder une étanchéité entre les mots de passe des différents pôles d’activités nous avons créé des catégories dédiées de partage pour chaque équipe, à laquelle les autres services n’ont pas accès et vice-versa.

Nous mettons également à disposition des différents services des “licences flottantes”, leur permettant de créer des accès temporaires et sécurisés pour des prestataires. Ils sont ainsi en mesure de créer un utilisateur identifié comme prestataire avec une date de validité lui permettant d’avoir accès aux mots de passe strictement nécessaires le temps de l’intervention. 

Grâce à la fonctionnalité permettant de “cacher les mots de passe”, les prestataires sont en capacité d’utiliser les mots de passe pour se connecter aux interfaces nécessaires mais sans jamais y avoir accès en clair, ce qui vient renforcer d’autant plus notre sécurité.

En tant qu’administrateur de LockPass au niveau du CHU je peux savoir combien d’utilisateurs sont créés, combien de sous-organisations nous avons etc… mais sans avoir accès aux mots de passe présents dans les sous-organisations. C’est un véritable atout pour pouvoir piloter et manager au mieux la solution tout en gardant une sécurité maximale.

Le nouveau dashboard me permet aussi de superviser et de suivre finement le déploiement en m'indiquant le nombre de personnes ayant activé leur compte, le nombre de licences restantes etc...

6. Pourquoi le choix de LockSelf ? Quels sont, selon vous, ses avantages ?

Les gros avantages de LockSelf selon moi sont : 

• La facilité de partage et d’attribution fine des droits
• L’ergonomie,
• Et le fait que le produit soit 100% français.

En tant qu'établissement de santé, le fait que l'ensemble de la suite LockSelf soit certifié par l'ANSSI était également un pré-requis. Aujourd'hui quand un produit est certifié par l'État cela nous donne une vraie garantie de sécurité.