|
|
|
|
|
|
CHU d'Amiens : la prévention des attaques en "tout-appliance" |
Pour accroître sa réactivité face à l'apparition de nouvelles menaces et protéger ses serveurs critiques, le centre hospitalier a opté pour un système de protection multicouche et préventif par boîtiers de sécurité.
(16/10/2006) |
|
Le centre hospitalier universitaire d'Amiens, notamment médiatisé pour sa greffe réussie du visage, a décidé en décembre 2005, à l'issue d'un audit d'intrusion interne et externe, de revoir profondément son infrastructure de sécurité.
"Nous disposions déjà d'une architecture sécurisée mise en place en 2003 et comprenant notamment un firewall, un proxy et une passerelle antivirus. Mais cette architecture nous protégeait uniquement de l'extérieur. Il n'y avait aucune protection de l'intérieur, hormis des antivirus sur les postes", explique Julien Rousselle, RSSI de l'établissement.
Le CHU fait tout d'abord le choix d'une appliance pour filtrer les emails à destination de ses 2 000 comptes de messagerie électronique. Vecteurs de codes malveillants et de spams (en moyenne 1 500 pourriels bloqués par heure), la sécurité de la messagerie n'est toutefois que le premier pan d'un dispositif de sécurité multi-couches.
Hormis 3 000 postes de travail, le centre hospitalier dispose en effet de plus de 100 serveurs, en grappe et dotés de dispositifs de répartition de charge, hébergeant une ou plusieurs applications, dont des applications métiers critiques. "La priorité était clairement à la protection de ce parc. Après des discussions avec la direction, nous avons décidé de déployer une solution d'audit en continu sur notre système d'information", déclare le RSSI.
"Pour nous, il était essentiel de pouvoir anticiper et faciliter la gestion de correctifs de sécurité sur les serveurs et sur les applications critiques", précise-t-il également, avant de poursuivre : "pour avoir une idée correcte de l'état de sécurité de notre système d'information et identifier les points critiques, nous voulions un outil nous permettant de mesurer ce niveau de sécurité."
Un audit en continu qui détermine les actions de sécurité |
Le CHU écarte rapidement l'idée de placer un firewall entre la partie serveurs et postes clients en raison du nombre trop important de connexions à gérer sur la ferme de serveurs. De même Julien Rousselle renonce à des solutions Open Source de détection d'intrusions et d'audit de vulnérabilités, dont Snort et Nessus.
En dépit de l'argument financier indiscutable du libre, le RSSI fait finalement le choix de produits propriétaires sous forme de deux boîtiers de sécurité rapidement déployables, le Foundstone FS1000 et l'Intrushield de McAfee.
La première appliance, dont l'installation n'aura réclamé qu'une heure, assure l'audit des vulnérabilités de la ferme de serveurs de manière quotidienne. Le scan, programmé durant la nuit et d'une durée d'environ deux heures, génère un rapport qui sera ensuite analysé par l'équipe de sécurité. Un audit dont les résultats détermineront son plan d'action du jour, c'est-à-dire par exemple les serveurs nécessitant un correctif ou ceux dont le mot de passe est jugé faible.
"On détermine dans le boîtier, la plage d'adresses IP des serveurs. Chaque nouveau serveur est rajouté à la liste pour être lui aussi audité. Même si nous avons plus de 90% de systèmes Windows, nos serveurs sous Ubuntu ou une autre distribution Linux sont également audités. On s'aperçoit d'ailleurs qu'ils sont bien plus sécurisés", commente Julien Rousselle.
Quant au second boîtier, l'IPS (Intrusion Prevention System), son action ne se limite pas aux seuls serveurs. Il se consacre en effet à l'ensemble du réseau afin de détecter et anticiper les attaques, comme un spyware installé sur un poste et qui enverrait sur Internet des données médicales nominatives. L'IPS surveille donc le trafic des routeurs et des équipements cur de réseau.
Des informations partagées avec la direction grâce à des tableaux de bord |
Mais afin de ne pas impacter les temps de traitement des applications comme le souhaitait la direction, le choix est fait de ne pas positionner l'appliance en coupure du réseau, place qui est habituellement la plus appropriée. Le flux allant du routeur vers les serveurs est répliqué sur un autre port auquel est connecté le boîtier. Ce qui permet de contrôler sans couper le trafic ou générer d'effets de bord sur les applications métiers.
En tout et pour tout, les appliances auront été configurées au terme d'une journée. Elles sont administrées par le biais d'une console unique par les deux personnes en charge de la sécurité au CHU.
Pour le RSSI, les bénéfices sont doubles : "nous menons un audit en continu du système d'information afin de connaître à tout moment son état de sécurité et nous partageons facilement cette information avec la direction générale à l'aide de tableaux de bord présentant des indices bien compris, clairs et précis."
Pour l'équipe informatique du centre hospitalier, la modernisation de l'architecture du SI ne s'arrête pas là. Julien Rousselle déclare travailler actuellement à l'élaboration d'un plan de continuité d'activité afin de répondre aux exigences de la direction, dont garantir que toute coupure ne pourra pas excéder le délai d'une heure.
De multiples projets sont également à l'étude ou en cours de maquettage : virtualisation des serveurs, basculement en tout IP afin de réduire les coûts de communication et disposer d'une grande console de supervision, ou enfin le SSO qui permettra au personnel de s'authentifier grâce à un badge unique embarquant certificat et identifiants CPS (carte de professionnel de santé).
Le
projet en bref
|
Entreprise
|
CHU d'Amiens
|
Secteur
d'activité
|
Santé
|
Nombre de salariés
|
6 000
|
Type
de projet
|
Sécurité
|
Solution
retenue
|
Appliances McAfee
|
Date
de lancement du projet
|
Décembre 2005
|
|
|
|
|
|
|