Ce projet a pour objectif de collecter et développer des fiches réflexe pour aider les organisations du biomédical à se protéger des cyberattaques pendant la pandémie. L'idée n'est pas de réinventer le pneu crevé mais de fournir de la documentation directement utilisable permettant de durcir le niveau de sécurité d'organisations spécifiques.
L'ambition est assez simple : il s'agit de protéger des équipements et des fonctions dépendant du numérique et qui permettent de contenir l'épidémie COVID19. Or, les personnes qui font de la sécurité ne comprennent souvent pas les spécificités du biomédical.
Il s'agit ainsi d'éviter à ce que les équipes de réponse à incidents se retrouvent rapidement saturées. En effet, les incidents de sécurité d'origine malveillante se multiplient. Les données épidémiologiques dont on dispose permettent d'anticiper une progression importante de la maladie mais elle sera contenue si on respecte les mesures instaurées et si tous les établissements continuent à fonctionner correctement. Nous ne voulons pas faire face à des hôpitaux bloqués cause rançongiciels : un tel blocage pourrait faire basculer le pays par manque de soins appropriés.
=> Réduire les risques pour les établissements biomédicaux assurant le dépistage et le suivi de propagation est critique. Cela laissera le temps aux équipes de réponse à incidents de se concentrer sur les cas graves (hôpitaux). On élabore dans le Wiki.
C'est pourquoi j'ai sollicité beaucoup de personnes ayant des compétences spécifiques et rares. La dissémination des fiches se fera à travers cybermalveillance.gouv.fr
Après quelques discussions, l'idée s'est précisée : focus sur l'écosystème biomédical.
- le COVID19 est cause un syndrome respiratoire : il convient donc d'adresser les labos d'analyses et d'imagerie ;
- malgré les consignes, beaucoup de gens risquent de se déplacer chez leur médecin traitant : celui-ci est fréquemment dans des cabinets rassemblant d'autres médecins/dentistes. Mais au sein d'un cabinet médical, qu'il y ait un seul ou plusieurs médecins, il peut y avoir une grande hétérogénéité d'outils numériques ;
- centres médico-sociaux, professions médicales mobilisées auxquels on ne pense pas immédiatement (psychologues cliniciens, par ex.).
Pour l'instant, si j'ai bien compris, les instituts de recherche biomédicale tels que Pasteur, Fondation AP-HP dépendent des FSSI, même si les cascades opérationnelles peuvent varier. Donc, à l'heure actuelle, sauf indication spécifique contraire, ils sont hors scope.
- Clarifier les outils et équipements indispensables pour chacune des activités ;
- Elaborer des approches de "durcissement" (= élévation du niveau de sécurité).
Vous n'êtes peut-être pas un-e expert-e en sécurité ? Si vous avez une expertise en outillage biomédicale, on trouvera l'expertise en sécurité :) Le problème des personnes qui font de la sécurité est de ne pas comprendre les spécificités du biomédical.
Au début, j'avais pensé à des ressources pour tout le monde en TPE/PME/collectivité (de la petite mairie au supermarché du coin). Mais plusieurs limitations à cela :
- spécificité : une collectivité, ce n'est pas pareil qu'une PME ; de plus, l'ANSSI a sorti un super guide il y a peu de temps : https://www.ssi.gouv.fr/entreprise/guide/securite-numerique-des-collectivites-territoriales-lessentiel-de-la-reglementation/
- parc IT : la multiplicité des usages fait qu'il y a un tas d'outils déployés, donc extrêmement difficile de faire un truc actionnable et pertinent ;
- ressources pré-existentes sur le nomadisme : cf. le guide de l'ANSSI https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/