Les services

Le traitement des incidents reste de la responsabilité des structures de santé. L’accompagnement et l’appui mis en place par le CERT Santé dans le cadre de leur signalement consiste à :

• Traiter le signalement sur le portail des signalements des évènements sanitaires indésirables et notifier au déclarant sa prise en compte ; 
• Analyser et qualifier le signalement pour le compte des autorités compétentes ;
• Apporter, si besoin, un accompagnement dans le traitement de l’incident de sécurité des systèmes d’information ;
• Diffuser une alerte vers le ministère de la santé et de la prévention et/ou les autorités compétentes de l’Etat selon la nature de l’incident :

                               - la Délégation du Numérique en Santé, pour assurer la communication et l’information du cabinet ministériel sur l’avancement de la gestion de l’incident ;
                               - le fonctionnaire de sécurité des systèmes d’information des ministères sociaux (FSSI), pour assurer la cohérence des actions de remédiation menées à l’échelle locale par les bénéficiaires avec les procédures définies au niveau national, ainsi que la qualité des services rendus par les éventuels PRIS ou prestataires mobilisés ;
                               - la direction générale de la santé (DGS) via le CORRUSS (Centre opérationnel de réception et de régulation des urgences sanitaires et sociales), dans le cas d’un incident ayant un impact sanitaire ;
                               - aux agences sanitaires dans le cas d’un incident majeur impactant la prise en charge des patients ; 
                               - à l’ANSSI, en cas d’incident concernant une structure relevant de dispositifs spécifiques (OIV ou OSE), ou en cas d’incident majeur de cybersécurité pouvant impacter d’autres secteurs.

Le CERT Santé apporte son appui aux structures dans le cadre de la réponse à un incident : 

• Mise à disposition de fiches réflexes (ex : rançongiciel, hameçonnage ou défiguration de site Web) ou de recommandations de mesures de remédiation correspondant à la nature de l’incident (ex : changement de mots de passe, mise en liste noire d’adresses de messagerie, blocage de protocoles) ;
• Proposition de mesures de confinement complémentaires au cours d’un premier entretien (isolation des sauvegardes, de l’Active Directory, désactivation massive de comptes, etc…) ; 
• Assistance à l’identification de la menace et le scénario complet de la compromission (acquisition et analyse de journaux d’évènements et de preuves numériques, analyse de codes malveillants, de fichiers infectés, recherche du « patient 0 » de l’attaque, etc…) ; 
• Proposition de mesures de remédiation adaptées (désinfection des systèmes compromis, suppression des fichiers malveillants, correction des vulnérabilités exploitées, etc…) ; 
• Orientation vers un prestataire cyber dans le cas d’une demande d’intervention sur site.

Présentation de l'activité de réponse à incidents :

Initialement pour des besoins de protection de ses systèmes, l'ANS a développé un service de cyber-surveillance. Ce service recherche et détecte de façon préventive les vulnérabilités sur les domaines exposés sur Internet.
Ce service est proposé à l'ensemble des bénéficiaires du CERT Santé.

Les objectifs du service
Le service de cyber-surveillance permet, pour un périmètre de domaines exposés sur Internet défini, de :

• cartographier et déterminer la surface d’attaque d’un système d’information ;
• détecter de manière pro-active les vulnérabilités qui affectent le système d’information.

Le rapport d’audit de cyber-surveillance
A l’issue des investigations et de l’analyse des résultats, un rapport est délivré. Celui-ci est destiné à la direction et au responsable de la cybersécurité.
Le rapport de cyber-surveillance présente :

• le périmètre de l'évaluation avec la liste des domaines et sous-domaines, avec une cartographie des systèmes détectés ;
• une synthèse managériale permettant de prendre rapidement connaissance du niveau de sécurité constaté et de la typologie des vulnérabilités ;
• une synthèse technique présentant :

                           -    les vulnérabilités détectées par niveau de criticité ;
                           -    un plan d'actions de remédiation hiérarchisé ;
                           -    le détail des vulnérabilités identifiées avec pour chacune :
                                               la criticité,
                                               le type de vulnérabilité (ou catégorie, telle que usurpation d'identité, défaut de configuration, …),
                                               le SI affecté,
                                               la description de la vulnérabilité,
                                               la recommandation associée en vue de sa correction.

Les demandes d’audit se font désormais via une interface de commande d’audit dédiée accessible à l’adresse suivante : https://cybersurveillance.esante.gouv.fr/ . Concernant les GHT, la demande d'audit doit concerner l'ensemble des établissements du GHT.
Pour y accéder, il faut disposer d’un compte utilisateur créé par le CERT Santé. La demande de compte doit être adressée à cyberveille@esante.gouv.fr en précisant le nom de l'établissement, nom/prénom/courriel/ n° de téléphone mobile du RSSI référent.
Un guide d'utilisation de cette nouvelle interface est disponible ici. 

Le message de demande doit préciser les informations suivantes concernant le RSSI et l’établissement concerné :
-    Nom; 
-    Prénom;
-    Numéro de téléphone;
-    E-mail;

-    Nom de l’établissement; 
-    Adresse;
-    Région;
-    Numéro FINESS/SIRET.

Lors de l'enregistrement de la demande dans la plateforme de commande d'audits, le demandeur doit renseigner le nom de l'établissement tel qu'il est désigné dans la base oSIS. Cela est d'autant plus important pour les GHT car les résultats d'audit doivent être remontés dans OPSSIES.
Pour encadrer la réalisation de l’audit par l’ANS, une convention est mise en place. Elle précise le périmètre de l’audit, le calendrier de réalisation et les points de contact pour faciliter les échanges.
Le rapport est communiqué dans un délai de quinze jours à la suite des travaux. Si toutefois des vulnérabilités critiques étaient identifiées au cours de l’audit, celles-ci seront notifiées avant l’envoi du rapport.
Seuls les services du HFDS et les personnes impliquées dans l’activité de cyber-surveillance au sein de l’ANS ont connaissance du rapport d’audit.
La charte du service de cybersurveillance :

Vidéo de présentation du service

Dans le cadre de la gestion des incidents de sécurité, le CERT Santé est régulièrement confronté à des structures de santé faisant la découverte de la compromission d’un service ou d'un compte exposé sur Internet. Ainsi, le CERT Santé mène depuis 2020 une activité de veille proactive en sources ouvertes. 
Le CERT Santé a constitué avec l’aide de l’ANSSI une cartographie des structures de santé présentes sur Internet (adresse IP, nom de domaine, principales technologies utilisées). Cette base enrichie au fil de l’eau permet au CERT Santé d’alerter directement par message électronique la structure lorsque l’un de ses systèmes est potentiellement vulnérable ou compromis.
 
Ces alertes peuvent être classées en trois grandes catégories de menace telles que présentées ci-dessous : 

Vulnérabilités critiques potentiellement présentes sur des services exposés sur Internet
Certaines vulnérabilités critiques font l’objet d’une exploitation active sur Internet. Dans ce contexte de menace importante, le CERT Santé alerte systématiquement les établissements désignés opérateurs de services essentiels ainsi que les principaux groupes de cliniques privés. Quand le CERT Santé a connaissance de la présence de la vulnérabilité sur le SI exposé sur Internet par un ES ou un ESMS, il alerte la structure concernée en lui précisant l’adresse IP et le nom de domaine concernés.

Compromission potentielle ou avérée de comptes ou de serveurs
Le CERT Santé est régulièrement informé de la compromission potentielle ou avérée de comptes (messagerie, RDP, VPN, etc…), de serveurs (web, messagerie, VPN, etc…) concernant des ES ou des ESMS. L’alerte envoyée à la structure précise l’adresse IP, le nom de domaine et le service concernés.

Services sensibles exposés sur Internet
La catégorie d’alerte « Service exposé » concerne la mise en garde des structures sur l’accessibilité de certains services potentiellement « sensibles » à partir d’Internet. Ces services servent souvent de porte d’entrée pour les attaquants. Il est alors recommandé aux structures de limiter leur exposition en ligne et de réduire l’ouverture de ports au strict nécessaire. Il s’agit principalement de services Windows, des ports RDP (administration d’un poste Windows à distance), mais aussi les services DICOM (standard international pour la gestion informatique des données issues de l'imagerie médicale). Cela concerne également les serveurs Web (IIS) présentant des vulnérabilités publiques spécifiques aux technologies du Web (injection SQL, faille XSS, attaques IDOR, etc…). L’alerte transmise précise l’adresse IP, le nom de domaine et le service concernés.

Dans son message d’alerte, le CERT Santé précise les mesures de correction/remédiation à mettre en œuvre par la structure soit pour ne pas être exposée à une exploitation malveillante d’une vulnérabilité, soit pour stopper une activité malveillante en cours et s’assurer qu’il n’est pas possible de la réactiver.

Présentation du service

Il s’agit du portail cyberveille-santé qui publie principalement des informations sur :

• Des vulnérabilités concernant des solutions déployées chez les bénéficiaires du CERT Santé et dont le score CVSS est supérieur ou égal à 7 ;
• Des activités malveillantes pouvant impacter les bénéficiaires du CERT Santé ;
• Des indicateurs sur les incidents déclarés par les bénéficiaires et sur les CVE publiées sur le portail ;

Le portail contient un espace privé dédié aux bénéficiaires. Il peuvent disposer d’un compte leur permettant de réaliser une veille ciblée et de recevoir automatiquement par message électronique les résultats de cette veille à une fréquence définie.